本文介绍如何使用检索分析模块对已接入产品的日志进行查询,支持语句检索和过滤检索两种模式,以及原始数据视图和表格视图的切换。
功能概述
提供统一的查询入口,支持对已接入产品的日志进行统一分析与检索。
前提条件
1. 已购买日志分析服务的账号。
2. 当前的登录账号是已经被共享了存储容量的账号。
说明:
多账号场景下,日志分析服务支持存储容量共享,详情可见操作指南中的多账号配置-日志分析容量共享。
操作步骤
1. 登录 云安全中心控制台,在左侧导航中,单击日志分析。
2. 在日志分析页面,左侧展示已接入的云产品列表,选择需要查询的目标产品(如云安全中心、主机安全、云防火墙等)。
3. 查询的日志类型选择:支持查询指定类型的日志数据,默认情况下会选中全部类型的日志。当前安全产品支持日志类型选择,云产品中则是直接将重要字段罗列出来方便您直接过滤。
安全产品的日志类型选择
云产品的日志类型选择
4. 选择检索的时间范围:单击顶部时间选择器,可快速选择“今天”、“近 3 天”、“近 7 天”、“近 30 天”等预设范围,也可自定义起止时间。
5. 选择检索模式,支持语句检索和过滤检索,CQL 语法规则请参考 CQL 语法规则。
语句检索:在搜索栏中输入查询语句,支持 CQL 语法,可进行多条件组合的精准检索与复杂分析。
过滤检索:通过选择特定字段以及过滤条件,进行快捷过滤。
5.1 选择特定字段。
5.2 选择过滤条件。
5.3 填写特定的字段值,然后单击开始检索。
6. 支持进行视图切换:支持两类视图切换,原始数据视图以及表格视图。原始数据视图侧重于一条完整的原始日志数据展示,表格视图则是按照字段分列进行展示。
原始数据视图
表格视图
7. 字段列表:页面左下方展示当前日志的所有可用字段,包括字段名称和类型(文本、数值、时间等)。单击隐藏字段/全部展示可切换字段的显示范围。
8. 多账号场景下,可以单击来源账号选择其他账号,来检索不同账号的日志数据。
