日誌管理與分析

本書結合日誌易團隊的多年經驗，依照主流的日誌管理系統設計理念，對日誌分析的原理與實現步驟進行了系統性講解。第1~3章分別介紹了日誌分析的基本概念、日誌管理相關的法律法規及規範要求、日誌管理與分析系統的組成部分及技術選型建議。第4~9章分別針對日誌採集、欄位解析、日誌存儲、日誌分析、日誌告警、日誌可視化等日誌分析中最重要的實現步驟進行了具體闡述。第10~13章介紹了日誌平台兼容性與擴展性、智慧型運維與SIEM相關的內容。

第1章 走近日誌 001

1.1 什麼是日誌 002

1.1.1 日誌的概念 002

1.1.2 日誌生態系統 002

1.1.3 日誌的作用 003

1.2 日誌數據 004

1.2.1 日誌環境與日誌類型 005

1.2.2 日誌語法 006

1.2.3 日誌管理規範 009

1.2.4 日誌使用誤區 009

1.3 雲日誌 010

1.4 日誌使用場景 011

1.4.1 運維監控 011

1.4.2 安全審計 012

1.4.3 業務分析 013

1.4.4 物聯網 015

1.5 日誌未來展望 016

第2章 日誌管理 017

2.1 概述 018

2.2 日誌管理相關法律 018

2.3 日誌管理要求 019

2.4 日誌管理中存在的問題 019

2.5 日誌管理的好處 020

2.6 日誌歸檔 024

第3章 日誌管理與分析系統 025

3.1 日誌管理與分析系統的基本功能 026

3.1.1 日誌採集 026

3.1.2 數據清洗 027

3.1.3 日誌存儲 027

3.1.4 日誌告警 027

3.1.5 日誌分析 028

3.1.6 日誌可視化 028

3.1.7 日誌智慧型分析 028

3.1.8 用戶與許可權管理 029

3.1.9 系統管理 029

3.2 日誌管理與分析系統技術選型 030

3.2.1 日誌分析的基本工具 030

3.2.2 開源+自研 032

3.2.3 商業產品 032

3.3 小結 035

第4章 日誌採集 036

4.1 日誌採集方式 037

4.1.1 Agent採集 037

4.1.2 Syslog 038

4.1.3 抓包 039

4.1.4 接口採集 039

4.1.5 業務埋點採集 040

4.1.6 Docker日誌採集 040

4.2 日誌採集常見問題 041

4.2.1 事件合併 042

4.2.2 高並發日誌採集 043

4.2.3 深層次目錄採集 043

4.2.4 大量小檔案日誌採集 044

4.2.5 其他日誌採集問題 044

4.3 小結 045

第5章 欄位解析 046

5.1 欄位的概念 047

5.2 通用欄位 048

5.2.1 時間戳 048

5.2.2 日誌來源 048

5.2.3 執行結果 049

5.2.4 日誌優先權 049

5.3 欄位抽取 049

5.3.1 日誌語法 050

5.3.2 欄位抽取方法 050

5.3.3 常用日誌類型的欄位抽取 052

5.4 schema on write與schema on read 054

5.5 欄位解析常見問題 055

5.5.1 欄位存在別名 055

5.5.2 多個時間戳 055

5.5.3 特殊字元 055

5.5.4 封裝成標準日誌 056

5.5.5 類型轉換 056

5.5.6 敏感信息替換 056

5.5.7 HEX轉換 057

5.6 小結 057

第6章 日誌存儲 058

6.1 概述 059

6.2 日誌存儲形式 059

6.2.1 普通文本 059

6.2.2 二進制文本 060

6.2.3 壓縮文本 063

6.2.4 加密文本 064

6.3 日誌存儲方式 064

6.3.1 資料庫存儲 064

6.3.2 分散式存儲 067

6.3.3 檔案檢索系統存儲 069

6.3.4 雲存儲 071

6.4 日誌物理存儲 073

6.5 日誌留存策略 073

6.5.1 空間策略維度 074

6.5.2 時間策略維度 074

6.5.3 起始位移策略維度 074

6.6 日誌搜尋引擎 074

6.6.1 日誌搜尋概述 075

6.6.2 實時搜尋引擎 075

6.7 小結 077

第7章 日誌分析 078

7.1 概述 079

7.2 日誌分析現狀 079

7.2.1 對日誌的必要性認識不足 079

7.2.2 缺乏日誌分析專業人才 079

7.2.3 日誌體量大且分散，問題定位難 080

7.2.4 數據外泄 080

7.2.5 忽略日誌本身的價值 080

7.3 日誌分析解決方案 080

7.3.1 數據集中管理 080

7.3.2 日誌分析維度 081

7.4 常用分析方法 082

7.4.1 基線 082

7.4.2 聚類 083

7.4.3 閾值 083

7.4.4 異常檢測 083

7.4.5 機器學習 084

7.5 日誌分析案例 085

7.5.1 Linux系統日誌分析案例 085

7.5.2 運營分析案例 086

7.5.3 交易監控案例 088

7.5.4 VPN異常用戶行為監控案例 088

7.5.5 高效運維案例 089

7.6 SPL簡介 090

7.7 小結 092

第8章 日誌告警 093

8.1 概述 094

8.2 監控設定 094

8.3 告警監控分類 098

8.3.1 命中數統計類型的告警監控 098

8.3.2 欄位統計類型的告警監控 099

8.3.3 連續統計類型的告警監控 100

8.3.4 基線對比類型的告警監控 100

8.3.5 自定義統計類型的告警監控 101

8.3.6 智慧型告警 102

8.4 告警方式 102

8.4.1 告警傳送方式 102

8.4.2 告警抑制和恢復 105

8.4.3 告警的外掛程式化管理 105

8.5 小結 105

第9章 日誌可視化 106

9.1 概述 107

9.2 可視化分析 107

9.2.1 初識可視化 107

9.2.2 圖表與數據 109

9.3 圖表詳解 110

9.3.1 序列類圖表 110

9.3.2 維度類圖表 116

9.3.3 關係類圖表 119

9.3.4 複合類圖表 123

9.3.5 地圖類圖表 125

9.3.6 其他圖表 127

9.4 日誌可視化案例 134

9.4.1 MySQL性能日誌可視化 134

9.4.2 金融業務日誌可視化 138

9.5 小結 140

第10章 日誌平台兼容性與擴展性 142

10.1 RESTful API 143

10.1.1 RESTful API概述 143

10.1.2 常見日誌管理API類型 144

10.1.3 API設計案例 145

10.2 日誌App 147

10.2.1 日誌App 概述 147

10.2.2 日誌App的作用和特點 147

10.2.3 常見日誌App類型 148

10.2.4 典型日誌App案例 151

10.2.5 日誌App的發展 155

第11章 智慧型運維 157

11.1 概述 158

11.2 異常檢測 159

11.2.1 單指標異常檢測 160

11.2.2 多指標異常檢測 166

11.3 根因分析 167

11.3.1 相關性分析 168

11.3.2 事件關聯關係挖掘 170

11.4 日誌分析 170

11.4.1 日誌預處理 171

11.4.2 日誌模式識別 172

11.4.3 日誌異常檢測 172

11.5 告警收斂 173

11.6 趨勢預測 175

11.7 智慧型運維面臨的挑戰 176

第12章 SIEM 177

12.1 概述 178

12.2 信息安全建設中存在的問題 179

12.3 日誌分析在SIEM中的作用 179

12.4 日誌分析與安全設備分析的異同 180

12.5 SIEM功能架構 181

12.6 SIEM適用場景 182

12.7 用戶行為分析 191

12.8 小結 198

參考文獻 199