开发者学堂课程【阿里云态势感知服务使用教程:日志检索功能介绍】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/415/detail/5292
云端态势感知提供的 ECS 化的日志检索功能
首先来到云端态势感知,从左边的导航里面看到日志的注册导航,点击运用,这时候会看到关于日志的大的功能。
它是感知提供的日志检索功能,当前提供了 web 访问日志以及网络会话日志的全量的数据。这些数据是由云上的资产产生的所有的网络连接行为而产生的。
对于日志的从发生到入库到准备检索,它的延迟会控制在三小时以内,后续的延迟时间目标是在五分钟以内。
比如选择 web 访问日志,然后可以去对应的访问日志的字段进行检索。
这里比如选择了一个 method,就是可以看到访问日志里面 method 字段包含 get 请求的所有的日志结果,现在选七天之内的所有日志,同时还可以去对时间进行自定义,选完七天之后进行搜索就可以对七天之内的 web 访问日志里面含有的 get 请求的日志进行全量的检索。
可以看到这里有大概57万条记录,下面的柱状图会按照时间进行排序,每小时的时间就会在这里列出来,单机其中的一个柱状甚至可以看到从12点到下午4点,就是12点到16点时隔时间段所有日志的结果。在点击当前的时间段之后可以再把时间维度进行一个划分。可以看到从12点到13点到14点到15点所有日志的趋势状况。
这就是对应日志的详细的列表。这里会列出所有采集的日志的详细的字段。
单击左侧字段的列表之后甚至可以对当前需要重点去关注的进行查看。
另外态势感知也提供了更复杂的条件解锁功能,比如现在要搜索 web 访问日志里面 method 包含 get 的方法,并且选择了且网络会话日志,目标端口包含80字段。在点击检索之后,就可以看到所有的记录了,就是从5月20号12点到4点这个时间段内 web 访问日志里面用 get 方法且网络会话日志里面包含的80端口的所有日志结果。
