更新时间:2024-10-29 GMT+08:00

查询与分析

操作场景

数据收集成功后,您可以在查询分析页面对收集到的日志数据进行实时查询分析。

本章节将介绍如何对日志数据进行查询分析,请根据您的需要选择查询分析方式:

前提条件

已完成数据接入,详细操作请参见数据集成

输入查询条件进行查询分析

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
  4. 在左侧导航栏选择威胁运营 > 安全分析,进入安全分析页面。
  5. 在左侧数据空间导航栏中,单击数据空间名称,展开数据管道列后,再单击管道名称,右侧将显示管道数据的检索页面。
  6. 在管道数据检索页面,输入查询分析语句。

    查询分析语句由查询语句和分析语句构成,格式为查询语句|分析语句,查询分析语句语法详细内容请参见查询与分析语法-SQL语法

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

  7. 单击“15分钟(相对)”,设置查询时间范围。

    您可以选择相对时间(15分钟、1小时、24小时),或自定义查询时间。

  8. 单击“查询/分析”,查看查询分析结果。

使用已有字段进行查询分析

本部分将介绍如何使用已有字段对接入日志进行查询分析。

  1. 登录管理控制台。
  2. 单击页面左上方的,选择“安全 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  3. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
  4. 在左侧导航栏选择威胁运营 > 安全分析,进入安全分析页面。
  5. 在左侧数据空间导航栏中,单击默认数据空间名称,展开数据管道列后,单击管道名称,右侧将显示管道数据的检索页面。
  6. 设置查询条件。

    如果筛留字段为text类型时,默认会使用MATCH_QUERY进行分词查询。

    • 在原始日志中,单击左侧可选字段前的,并单击待筛选字段名称后的(筛选某字段值),查询框中将按照已筛选的字段进行查询。如果需要排除某字段值,可以单击该字段名称前的
    • 如果您已展开某时间点的具体日志数据,需要筛选某些字段,可以单击该字段名称前的(筛选某字段值),查询框中将按照已筛选的字段进行查询。如果需要排除某字段值,可以单击该字段名称前的

  7. 默认查询并显示最近15分钟内数据。如果需要查询其他时间段日志数据,则需要设置查询时间,并单击“查询/分析”

操作查询分析结果

安全云脑通过原始日志日志分布直方图图表统计形式展示查询分析结果。

  • 日志分布直方图

    此处将展示查询到的日志在时间上的分布情况,同时,将鼠标放在柱状图上,可查看该数据块代表的时间和日志命中次数。

  • 原始日志

    “原始日志”页签将展示当前查询结果。

    • 设置显示日志数据信息:
      • 页面中默认展示最近15分钟内的日志数据,如果需要展示其他时间数据,可以在右上角选择展示的时间。
      • 如需查看某时间所有字段中的数据,可单击表格中对应时间前方的展开所有数据,默认展示以表格形式展示数据。

        如需查看JSON格式数据,可以选择“JSON”页签,页面将展示JSON格式的数据。

      • 如需在列表中展示/筛选某些字段信息,可在右侧可选字段中选择需展示的字段,并单击字段名称后的,该字段将显示在右侧日志数据列表中。
        • 字段选中后,如需调整显示先后顺序,可在右侧日志数据列表的表头列单击该字段名称后的(向左移一列)、(向右移一列)按钮来进行调整。
        • 字段选中后,如需取消,可在右侧日志数据列表的表头列单击该字段名称后的按钮来进行取消,或左侧在“选定字段”单击该字段名称后的按钮来取消显示。
    • 导出日志:在原始日志页签,在页面右上方单击图标,系统将自动下载当前原始日志表格到本地。
  • 图表统计

    查询语句查询后,在“图表统计”页签可以查看可视化的查询分析结果。

    图表统计是安全云脑根据查询分析语句渲染出的结果,提供有表格、线图、柱状图、饼图等多种图表类型,详细信息请参见图表统计概述

  • 告警

    在查询分析页面右上角单击“添加告警”,可以将查询分析结果设置告警,详细信息请参见快速添加日志告警模型

  • 快速查询

    在查询分析页面右上角单击“保存为快速查询”,可以将某一查询分析条件保存为快速查询,详细信息请参见快速查询