备案 控制台 登录 注册
文档中心 > 日志中心
日志中心

最近更新时间:2022-01-21

操作场景

该小节指导已经购买态势感知服务的用户登录至态势感知平台,查看系统采集到的日志的分析结果,不同类别的日志展示的关键字段不同,以便您根据不同的日志类型关注不同信息。

前提条件

  • 已获取管理控制台的登录账号和密码,且已登录管理控制台。

  • 已创建态势感知服务。

使用限制和指导

  • 除通配符外,仅支持查询字母和数字。

  • 字段值支持精确查询,也支持输入通配符进行模糊搜索。系统支持如下两种通配符:

    • ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0,182.9.0.1……182.9.0.9。

    • *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0,182.9.0.1……182.9.0.255。

  • 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段,只支持精确查找。

  • 日志产生时间、开始时间、结束时间、采集器接收日志时间、Agent日志采集时间等字段需要输入Unix时间戳进行搜索。

  • 最多仅支持新增10个过滤条件进行检索。

日志类型

系统解析后展示的日志类型如下:

  • 安全日志

      安全日志记录了用户网络中曾经发生的各种攻击事件信息,如攻击源、攻击目的、攻击事件等。安全日志包括漏洞利用日志、扫描侦查日

      志、恶意文件日志等子类型日志,不同子类型日志展示的字段不同,方便您根据日志类型关注并获取不同的关键信息。

  • 网络审计日志

      网络审计日志用来查看用户的上网行为记录,方便您根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。网络审计日志包

      括IM日志、邮件日志、社区访问日志等子类型日志,不同子类型日志展示的字段不同,方便您根据日志类型关注并获取不同的关键信息。

  • 数据库审计日志

      数据库审计日志记录了网络中的数据库活动及用户访问数据库行为信息。方便您根据数据库活动情况制定管理策略,加强内外部数据库网络

      行为记录,提高数据资产安全。数据库审计日志包括规则审计日志、告警审计日志、行为审计日志等子类型日志。

  • SSL VPN日志

      SSL VPN日志记录了远程用户通过SSL VPN访问内网资源时的登录、登出及资源访问情况。SSL VPN日志包括登录日志、认证日志、资源访

      问日志,不同子类型日志展示的字段不同,方便您根据日志类型关注并获取不同的关键信息。

  • DLP审计日志

      DLP审计日志包括网络DLP审计日志和终端DLP审计日志,其中网络DLP主要审计内网用户向外部发送的邮件是否违反您预设的审计规则,终

      端DLP审计内网的终端上的是否文件拷贝、USB插入等行为。以便您进行信息安全管理。

  • Citrix审计日志

      Citrix审计日志记录了用户的行为信息,可用于审计用户的违规行为。

  • 安全检查审计日志

      安全检查审计日志记录了通过各类设备或软件系统记录用户的行为信息,可用于审计用户的违规行为。

  • 应用审计日志

      应用审计日志用来查看用户的上网行为记录,方便您根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。

  • 运维审计日志

      运维审计日志即堡垒机审计日志,记录了用户访问其他资产时的相关信息。

  • 网络流量日志

      网络流量日志记录了每条数据流产生的流量信息以及流向,您可通过流量日志信息为每条流制定合理、精确的管理策略。

  • 接入授权日志

      接入授权日志记录了通过接入授权设备接入网络的用户接入情况。您可通过该日志跟踪网络中用户接入授权情况。

  • 安全策略日志

      报文与安全策略成功匹配后就会输出安全策略日志,安全策略日志有利于您对于用户行为进行审计或者进行网络故障排查。

  • 网元操作日志

      网元操作日志包括登录、配置、认证及其他操作行为,通过查看操作日志信息可以跟踪您对设备的操作,有利于对您操作设备的行为进行审

      计以及进行设备故障排查。

  • 数据库日志

      数据库日志记录了数据库的各类运行信息,数据库日志包括性能监控日志、SQL运行日志、慢查询日志、数据库登录日志、用户信息变更日

     志、定时任务日志、错误日志、连接数信息日志、运行时长日志、其他日志。通过这些日志信息,您可监控数据库运行状态。

  • 终端系统日志

      终端系统日志记录了终端主机上发生过的行为信息,如性能监控、用户登录登出、文件操作、进程操作等,方便您管理终端主机。

  • 中间件日志

      中间件日志记录了主机中间件的各类信息,中间件日志包括中间件访问日志、中间件启动日志、中间件运行异常错误日志、运行日志。通过

      这些日志信息,您可监控监控中间件运行状态。

  • 网元系统日志

      网元系统日志页面记录了设备在运行过程中产生的相关日志信息,通过查看系统日志信息可以跟踪设备的运行过程、分析网络状况以及定位

      问题发生的原因,为进行故障诊断和维护提供依据。

  • 终端审计日志

      终端审计日志记录了终端主机发生过的网络访问行为信息,方便您管理终端主机。

  • 终端杀毒日志

      终端杀毒日志记录了终端主机上杀毒软件监控到的病毒信息,方便您了解终端主机感染病毒情况。

  • 应用软件日志

      应用软件日志记录了SVN服务器的错误日志、访问日志等信息,方便您对SVN服务器的访问行为进行审计以及故障排查。

  • 其他

      日志成功上报后,不支持解析的设备上报的日志或解析异常的日志将在“其他类”日志中展示。

操作步骤

1. 选择“态势感知 > 概览”。

2. 在概览页面,点击“登录系统”,登录态势感知平台。

3. 选择“分析中心 > 日志中心”进入日志检索页面,选择要查询的日志类型。

4. 点击“新增过滤条件”,选择需要过滤的字段、操作关系,并输入具体的值,检索或导出需要的日志。