日志分析服务 LOG 日志分析服务 LOG 日志分析服务(Log Analysis Service, 简称LOG)一站式海量实时日志分析服务,提供日志实时采集、智能分析与可视化、转储等功能。提供端到端的快速、易用、丰富的日志分析平台 日志分析服务(Log Analysis Service
多种应用场景,满足业务日志管理诉求 运维日志平台 统计分析 审计分析 运维日志平台 运维日志平台 企业应用的运维日志分散在不同的虚机上,包括应用运行日志、中间件日志等,日志分散,日志规模较大,为企业日志提供集中管理平台 优势 全托管式 提供日志采集、存储、老化、搜索和转储 海量日志管理 支持
云日志服务 LTS 资源 云日志服务 LTS 资源 提供一站式日志采集、秒级搜索、海量存储、结构化处理等功能,满足网络日志可视化分析等应用场景 提供一站式日志采集、秒级搜索、海量存储、结构化处理等功能,满足网络日志可视化分析等应用场景 控制台 专家咨询 文档 资源与工具 资源与工具
10分钟视频教程快速认识ELB 10分钟视频教程快速认识ELB 弹性负载均衡产品介绍 创建弹性负载均衡实例 配置弹性负载均衡访问日志 弹性负载均衡产品介绍 创建弹性负载均衡实例 配置弹性负载均衡访问日志 最佳实践 最佳实践 使用访问日志定位异常后端服务器 您可以通过云日志服务,查看访
功能概览 云日志服务 LTS 功能 日志流(LogStream)是日志读写的基本单位,日志组中可以创建日志流,将不同类型的日志分类存储,方便对日志进一步分类管理。例如,您可以将不同的日志(操作日志、访问日志等)写入不同的日志流,查询日志时可以进入对应的日志流快速查看日志。1个日志组中最多可以创建100个日志流。
Linux主机接入云日志服务快速入门 Linux主机接入云日志服务快速入门 创建日志组和日志流 日志组和日志流是云日志服务进行日志管理的基本单位,在使用云日志服务时,您首先需要创建一个日志组和日志流。 安装ICAgent ICAgent是云日志服务的日志采集工具,运行在需要采集日志的云主机中
提供数据库审计,SQL注入攻击检测,风险操作识别等功能,保障云上数据库的安全 购买 智能客服 3步快速使用数据库安全服务 3步快速使用数据库安全服务 快速使用 以审计ECS的自建数据库为例,指导您快速上手数据库安全审计 入门实践 配置完数据库安全服务后,可以根据自身的业务场景使用DBSS提供的一系列常用实践
支持一键下载,提供详细测试分析和问题上下文信息、 全过程截图、日志 功能描述 TOP机型套餐 机型全面:提供TOP机型,覆盖98%主流机型;快速上新:快速上线最新最热机型 机型全面:提供TOP机型,覆盖98%主流机型;快速上新:快速上线最新最热机型 无需提供测试脚本 只需提交Androi
常获取CTS服务的日志数据源,为了保证威胁检测服务能正常获取CTS服务的日志数据源,您需要执行以下操作: 1、关闭CTS服务日志检测 2、参考操作步骤配置追踪器 3、开启CTS服务日志检测 了解详情 用户指南 日志检测管理 关闭日志检测 开启日志检测 查看日志检测信息 威胁情报管理
Management)防火墙与网络日志跟踪分析防病毒日志分析通过网络安全监控日志发现端口扫描和非法入侵日志易系统日志处理步骤:日志传输日志通过各服务器端的rsyslog、syslog-ng或NXlog流式上传到日志易服务器,也可以通过HTTP POST上传日志文件。日志接收日志上传到日志易的中央接收器
Management)防火墙与网络日志跟踪分析防病毒日志分析通过网络安全监控日志发现端口扫描和非法入侵 日志易系统日志处理步骤:日志传输日志通过各服务器端的rsyslog、syslog-ng或NXlog流式上传到日志易服务器,也可以通过HTTP POST上传日志文件。日志接收日志上传到日志易的中央接收
Management)防火墙与网络日志跟踪分析防病毒日志分析通过网络安全监控日志发现端口扫描和非法入侵 日志易系统日志处理步骤:日志传输日志通过各服务器端的rsyslog、syslog-ng或NXlog流式上传到日志易服务器,也可以通过HTTP POST上传日志文件。日志接收日志上传到日志易的中央接收
Log4x是一款通过简单配置即可使用的功能强大的日志管理及分析平台。它通过对系统主机、中间件、数据库及各应用系统产品的日志,进行统一收集、多维分析和灵活呈现Log4x实现对系统所涉及范围内的主机、服务器、网络设备、数据库以及各种应用服务系统访问等产生的日志,进行收集、分析和呈现。通过定义日志筛选规则和策略,帮助
多原理图等设计数据的统一管理。快速性能评估电气原理快速设计系统提供方案阶段级联电路的快速性能评估工具,支持针对射频级联电路,以增益、噪声、P1dB压缩点、动态范围等参数为验证指标,通过快速搭建单支路链路模型,以“所见即所得”的链路设计模式,简单、快速的构建射频级联电路,自动调用级
系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,实现对信息系统整体安全状况的全面审计。4、安全运维工作落地,3、快速日志检索,1、日志集中存储及管理,2、异常分析及告警
求。强大的日志分析能力:LAS对多源异构设备日志进行采集,利用日志范式化、多源关联分析等技术,对日志进行综合处理,构建日志管理闭环,为威胁溯源分析提供依据。灵活的数据存储能力:LAS对采集到的日志进行压缩存储,支持硬盘扩容、备份FTP服务器、NFS网络文件共享等多种日志存储方案,
深耕行业十多年,Hiacent快速开发平台在金融、通信、能源、教育等多个产业领域拥有上千家企业的数字化成功实践。Hiacent快速开发平台在金融、通信、能源、教育等多个产业领域拥有上千家企业的数字化成功实践。 引领新的开发模式(Online Coding- > 代码生成器 - >
统提供的范式化字段包括日志接收时间 、日志产生时间、源IP地址、源主机名称、日志的事件摘要、级别及特性等信息,使范式化后的日志详尽而易读,同时系统还对不完整的日志信息进行了手工分类和分析,加入了日志级别与日志特性字段,丰富了日志所蕴含的信息量,让枯燥的日志信息变的更可理解。 与此
您可以在华为云官网使用云日志服务进行日志搜索与查看。日志搜索与查看的操作指引如下: 1.日志组和日志流是云日志服务进行日志管理的基本单位,在使用云日志服务时,您首先需要创建一个日志组和日志流,具体操作请参见创建日志组日志流 2.ICAgent是云日志服务的日志采集工具,运行在需要采集日志的云主机中。首次使用云日志服
topic。 云日志服务日志告警操作指导教程 云日志服务介绍视频帮助您快速了解如何使用云日志服务 了解更多 日志接入 03:36 介绍日志如何接入 日志接入 介绍日志如何接入 结构化配置 06:20 介绍如何配置日志结构化 结构化配置 介绍如何配置日志结构化 日志告警 03:46
t将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往云日志服务,您可以在云日志服务控制台实时查看日志。 云日志服务可以将主机待采集日志的路径配置到日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往云日志服务,您可以在云日志服务控制台实时查看日志。
将相似日志进行聚类,并支持智能告警分析,提升日志整体分析效率 ● 将相似日志进行聚类,并支持智能告警分析,提升日志整体分析效率 云日志服务相关文档 云日志服务如何管理日志 云日志服务如何接入日志 云日志服务搜索查询 云日志服务日志分析 云日志服务日志加工 云日志服务资源统计 云日志服务日志告警
日志流中,ICAgent将按照日志采集规则采集日志,并将多条日志进行打包,以日志流为单位发往云日志服务,您可以在云日志服务控制台实时查看日志。 采集云服务日志 云日志服务(LTS)支持采集计算、容器、安全与合规等华为云云产品的日志数据,包括云服务器 ECS、云容器引擎 CCE、Web应用防火墙
如何进行日志分析 如何进行日志分析 什么是日志分析 什么是日志分析 云日志服务(Log Tank Service)提供日志分析的能力,对采集的日志数据,通过关键字查询、模糊查询等方式简单快速地进行日志分析查询,适用于日志实时数据分析、安全诊断与分析、运营与客服系统等,例如云服务的
如何实时查看日志 如何实时查看日志 用户可以在云日志服务管理控制台实时查看上报的日志,日志管理控制台为用户提供了日志查询功能,方便用户查看日志的操作。支持查看日志、备份概况和下载日志,用户可在云日志控制台进行查看和下载。 用户可以在云日志服务管理控制台实时查看上报的日志,日志管理控制
云日志服务 如何配置主机日志接入 云日志服务 02:23 如何创建并配置主机组 云日志服务 如何创建并配置主机组 云日志服务 03:08 日志搜索 云日志服务 日志搜索 云日志服务 03:36 云日志服务 如何配置主机日志接入 云日志服务 02:23 云日志服务 如何创建并配置主机组
数据库的日志。 帮助文档 GaussDB日志操作场景 GaussDB日志操作场景 配置访问日志后,GaussDB实例新生成的审计日志记录会上传到云日志服务(Log Tank Service,简称LTS)进行管理。您可以查看GaussDB实例审计日志的详细信息,包括搜索日志、日志可视化、下载日志和查看实时日志等功能。
快速分析攻击日志
应用场景
开启 WAF 全量日志功能后,您可以将攻击日志(attack)记录到 云日志 服务(Log Tank Service,简称 LTS )中,通过LTS记录的WAF攻击日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。
本实践通过将WAF的攻击日志开启LTS快速分析,再通过Spirng规则ID快速查询并分析被拦截的Spring core RCE漏洞的日志。
资源与成本规划
资源 |
资源说明 |
每月费用 |
|---|---|---|
云日志服务 |
|
具体的计费方式及标准请参考计费说明。 |
云模式-标准版:
独享模式:
|
具体的计费方式及标准请参考计费说明。 |
步骤一:购买WAF
您可以购买WAF云模式或者独享模式。
购买云模式标准版
以购买WAF云模式标准版为例进行介绍。
- 登录华为云管理控制台。
- 在控制台页面中选择,进入Web应用防火墙控制台。
- 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“云模式”。
- “区域”:根据防护业务的所在区域就近选择购买的WAF区域。
- “版本规格”:选择“标准版”。
- “扩展包”及“购买时长”:根据具体情况进行选择。
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,阅读并勾选《Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
购买独享模式
建议至少购买2个WAF实例。
- 登录华为云管理控制台。
- 在控制台页面中选择,进入Web应用防火墙控制台。
- 在页面右上角,单击“购买WAF实例”,进入购买页面,“WAF模式”选择“独享模式”。
表2 WAF独享引擎实例参数说明 参数名称
说明
取值样例
基础配置
计费模式
仅支持“按需计费”模式。
按需计费
区域
支持购买WAF独享模式的区域说明,请参见Web应用防火墙支持防护哪些区域?。
原则上,在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率,减少网络时延,提高网络速度,建议您在购买WAF时,根据防护业务的所在区域就近选择购买的WAF区域。
-
通用可用区
选择区域中的可用区。
说明:可用区选定后不支持更换。
-
版本规格
版本选择
选择实例的规格,支持“WI-500”和“WI-100” 。
- WAF实例规格选择WI-500,参考性能:
- HTTP业务:建议QPS 5,000;极限QPS 10,000
- HTTPS业务:建议QPS 4,000;极限QPS 8,000
- Websocket业务:支持最大并发连接5,000
- 最大回源长连接:60,000
- WAF实例规格选择WI-100,参考性能:
- HTTP业务:建议QPS 1,000;极限QPS 2,000
- HTTPS业务:建议QPS 800;极限QPS 1,600
- Websocket业务:支持最大并发连接1,000
- 最大回源长连接:60,000
WI-500
WAF实例创建类别
选择实例的资源类型,仅支持“资源租户类”。
WAF实例通过弹性网卡接入用户网络。仅支持与独享型 ELB 配套使用,接入方式请参见网站接入流程(独享模式)。
资源租户类
网络配置
选择源站所在的 VPC 。
-
子网
选择VPC中已配置的子网。
-
安全组
选择区域中已有的安全组,或者单击“管理安全组”,跳转到VPC管理控制台创建新的安全组。选择安全组后,该实例将受到该安全组访问规则的保护。
须知:- 安全组建议配置以下访问规则:
有关添加安全组规则的详细操作,请参见添加安全组规则。
- 如果WAF独享引擎实例与源站不在同一个VPC中,需要在安全组中设置实例与源站的子网互通。
-
用量配置
购买数量
设置购买的WAF实例个数。
建议至少购买2个WAF实例,并将业务分别部署到WAF实例上。当业务部署多个WAF实例时,如果某个WAF实例发生故障时,WAF会自动将流量切换到其它正在运行的WAF实例上,确保业务正常运行。
2
高级配置(可选)
WAF实例名称前缀
设置WAF实例名称前缀,购买多个实例时,实例前缀名称相同。
WAF
企业项目
企业项目针对企业用户使用,只有开通了企业项目的客户,或者权限为企业主账号的客户才可见。如需使用该功能,请开通企业管理功能。企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。
说明:- “default”为默认企业项目,账号下原有资源和未选择企业项目的资源均在默认企业项目内。
- 只有注册的华为账号购买WAF时,“企业项目”下拉列表中才可以选择到“default”。
default
标签
如果您需要使用同一标签标识多种云资源,即所有服务均可在标签输入框下选择同一标签,建议在TMS中创建预定义标签。
如您的组织已经设定Web应用防火墙(Web Application Firewall,WAF)服务的相关标签策略,则需按照标签策略规则为独享引擎实例添加标签。标签如果不符合标签策略的规则,则可能会导致独享引擎实例创建失败,请联系组织管理员了解标签策略详情。
-
服务授权
首次购买WAF时,可配置此参数。勾选后,WAF将代您在IAM中创建委托,开通相关权限。
-
反亲和
- 开启后,最多只能创建5个独享引擎实例。
- 开启后,独享引擎在创建时,将尽量分散地创建在不同的物理主机上,以提高业务的可靠性。
-
- WAF实例规格选择WI-500,参考性能:
- 确认参数配置无误后,在页面右下角单击“立即购买”。
- 确认订单详情无误后,阅读并勾选《Web应用防火墙免责声明》,单击“去支付”,完成购买操作。
- 进入“付款”页面,选择付款方式进行付款。
步骤二:将网站信息添加到WAF
此处以云模式-CNAME接入为例进行介绍。
- 云模式-ELB接入方式请参见将网站接入WAF防护(云模式-ELB接入)。
- 独享模式接入方式请参见将网站接入WAF防护(独享模式)。
- 在左侧导航树中,选择“网站设置”,进入网站设置列表。
- 在网站列表的左上角,单击“添加防护网站”。
- 选择“云模式-CNAME接入”并单击“开始配置”。
- 根据界面提示,配置网站信息,如表3所示。
图1 基础信息配置
- 单击“下一步”,根据界面提示,完成WAF回源IP加白、本地验证和修改域名DNS解析设置的操作。
图2 添加域名完成
步骤三:将防护日志配置到LTS
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择。 - 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
- 选择“全量日志”页签,开启全量日志
,并选择日志组和日志流,相关参数说明如表4所示。
图3 配置全量日志
表4 全量日志配置参数 参数
参数说明
取值样例
选择日志组
选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。
lts-group-waf
记录攻击日志
选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。
攻击日志记录每一个攻击告警信息,包括攻击事件类型、防护动作、攻击源IP等信息。
lts-topic-waf-attack
记录访问日志
选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。
访问日志记录每一个HTTP访问的关键信息,包括访问时间、访问客户端IP、访问资源URL等信息。
lts-topic-waf-access
- 单击“确定”,全量日志配置成功。
您可以在LTS管理控制台查看WAF的防护日志。
步骤四:通过LTS分析Spring core RCE漏洞的拦截情况
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域或项目。 - 单击页面左上方的
,选择,进入“日志管理”页面。
图4 单击攻击日志流名称
- 在日志组列表中,展开waf日志组,选择日志流“attack”。
- 在日志流详情页面,单击右上角
,在弹出页面中,选择“云端结构化解析”页签,进入日志结构化配置页面。 - 选择“JSON”日志结构化方式,单击“从已有日志中选择”,在右侧弹框中任意选择一条日志。
- 单击“智能提取”,筛选出需要“快速分析”的字段,打开这些字段在“快速分析”列的开关,打开后,可以对周期类日志进行统计分析。
图5 日志提取字段
- 找到“category”字段,单击该字段“别名”列的
,修改该字段名称并单击
保存设置。
该字段名称与系统内置字段 category 重复了,需要修改后才能保存成功。
- 在列表右下方,单击“保存”,LTS将对周期内的日志进行快速分析、统计。
- 在左侧导航树中,选择“可视化”,输入以下命令,并单击“执行查询”,可查看到被拦截的Spring core RCE漏洞的日志。
select rule, hit_data where rule IN('XX','XX','XX','XX',)
有关SQL查询语法的详细介绍,请参见SQL查询语法。
- XX代表Spring core RCE漏洞的规则ID,请提前获取。
- 可视化查询功能当前只针对“北京4”白名单用户可用。
图6 可视化查询
快速分析攻击日志常见问题
更多常见问题 >>-
云日志服务常见问题-日志转储类的问题解决。
-
云日志服务常见问题-日志搜索与查看类的问题解决。
-
云连接(Cloud Connect)能够提供一种快速构建跨区域VPC及云上多VPC与云下多数据中心之间的高速、优质、稳定的网络能力,帮助用户打造一张具有企业级规模和通信能力的全球云上网络。
-
对采集的日志数据,可以通过关键字查询、模糊查询等方式简单快速地进行查询,适用于日志实时数据分析、安全诊断与分析、运营与客服系统等,例如云服务的访问量、点击量等,通过日志数据分析,可以输出详细的运营数据。
-
云日志服务(Log Tank Service)支持通过关键词和SQL统计配置日志告警,日志告警渠道支持邮件、短信、微信、钉钉、HTTP、语音
-
公网NAT网关(Public NAT Gateway)能够为虚拟私有云内的云主机(弹性云服务器云主机、裸金属服务器物理机)或者通过云专线/VPN接入虚拟私有云的本地数据中心的服务器,提供最高20Gbit/s能力的网络地址转换服务,使多个云主机可以共享弹性公网IP访问Internet或使云主机提供互联网服务。
更多相关专题
长按/截图保存,微信识别二维码
或者关注公众号“华为云”