日誌管理與分析（第2版）

第1章 走近日誌 001
1.1 什麼是日誌 002
1.1.1 日誌的概念 002
1.1.2 日誌生態系統 002
1.1.3 日誌的作用 003
1.2 日誌資料 004
1.2.1 日誌環境與日誌類型 004
1.2.2 日誌語法 005
1.2.3 日誌管理規範 007
1.2.4 日誌使用誤區 008
1.3 雲日誌 008
1.4 日誌使用場景 009
1.4.1 故障排查 009
1.4.2 運維監控 010
1.4.3 安全審計 010
1.4.4 業務分析 011
1.4.5 物聯網 013
1.5 日誌未來展望 013

第2章 日誌管理 015
2.1 日誌管理相關法律 016
2.2 日誌管理要求 016
2.3 日誌管理中存在的問題 017
2.4 日誌管理的好處 018
2.5 日誌歸檔 021

第3章 日誌管理與分析系統 022
3.1 日誌管理與分析系統的基本功能 023
3.1.1 日誌採集 023
3.1.2 數據清洗 023
3.1.3 日誌存儲 024
3.1.4 日誌告警 024
3.1.5 日誌分析 024
3.1.6 日誌視覺化 025
3.1.7 日誌智慧分析 025
3.1.8 用戶與許可權管理 025
3.1.9 系統管理 025
3.2 日誌管理與分析系統技術選型 026
3.2.1 日誌分析的基本工具 026
3.2.2 開源+自研 028
3.2.3 商業產品 028
3.3 小結 031

第4章 日誌採集 032
4.1 日誌採集方式 033
4.1.1 Agent採集 033
4.1.2 Syslog 034
4.1.3 抓包 035
4.1.4 介面採集 035
4.1.5 業務埋點採集 035
4.1.6 Docker日誌採集 036
4.2 日誌採集常見問題 037
4.2.1 事件合併 037
4.2.2 高併發日誌採集 038
4.2.3 深層次目錄採集 038
4.2.4 大量小檔日誌採集 039
4.2.5 其他日誌採集問題 039
4.3 小結 040

第5章 欄位解析 041
5.1 欄位的概念 042
5.2 通用欄位 042
5.2.1 時間戳記 043
5.2.2 日誌來源 043
5.2.3 執行結果 043
5.2.4 日誌優先順序 043
5.3 欄位抽取 044
5.3.1 日誌語法 044
5.3.2 欄位抽取方法 045
5.3.3 常用日誌類型的欄位抽取 047
5.4 schema on write與schema on read 048
5.5 欄位解析常見問題 049
5.5.1 欄位存在別名 049
5.5.2 多個時間戳記 049
5.5.3 特殊字元 049
5.5.4 封裝成標準日誌 050
5.5.5 類型轉換 050
5.5.6 敏感資訊替換 050
5.5.7 HEX轉換 050
5.6 小結 051

第6章 日誌存儲 052
6.1 日誌存儲形式 053
6.1.1 普通文本 053
6.1.2 二進位文本 054
6.1.3 壓縮文本 056
6.1.4 加密文本 057
6.2 日誌存儲方式 057
6.2.1 資料庫存儲 057
6.2.2 分散式存儲 060
6.2.3 檔檢索系統存儲 061
6.2.4 雲存儲 063
6.3 日誌物理存儲 064
6.4 日誌留存策略 064
6.4.1 空間策略維度 065
6.4.2 時間策略維度 065
6.4.3 起始位移策略維度 065
6.5 日誌搜尋引擎 065
6.5.1 日誌搜索概述 066
6.5.2 即時搜尋引擎 066
6.6 小結 067

第7章 日誌分析 068
7.1 日誌分析現狀 069
7.1.1 對日誌的必要性認識不足 069
7.1.2 缺乏日誌分析專業人才 069
7.1.3 日誌體量大且分散，問題定位難 069
7.1.4 數據外泄 069
7.1.5 忽略日誌本身的價值 070
7.2 日誌分析解決方案 070
7.2.1 資料集中管理 070
7.2.2 日誌分析維度 071
7.3 常用分析方法 072
7.3.1 基線 072
7.3.2 聚類 072
7.3.3 閾值 073
7.3.4 異常檢測 073
7.3.5 機器學習 073
7.4 日誌分析案例 074
7.4.1 Linux系統日誌分析案例 074
7.4.2 運營分析案例 075
7.4.3 交易監控案例 077
7.4.4 VPN異常用戶行為監控案例 077
7.4.5 高效運維案例 078
7.5 SPL簡介 079
7.6 小結 081

第8章 SPL 082
8.1 SPL簡介 083
8.2 SPL學習經驗 083
8.3 小試牛刀 084
8.3.1 基本查詢與統計 088
8.3.2 統計命令 089
8.3.3 分時統計 091
8.3.4 重命名 092
8.4 圖表的使用 093
8.4.1 視覺化：體現資料趨勢的圖表 093
8.4.2 快速獲取排名 094
8.5 資料整理 095
8.5.1 賦值與計算 095
8.5.2 只留下需要的資料 101
8.5.3 過濾項 101
8.5.4 利用表格 102
8.5.5 排序突出重點 104
8.5.6 去冗餘 105
8.5.7 限量顯示 106
8.5.8 實現跨行計算 107
8.5.9 只留下想要的欄位 108
8.6 關聯分析 109
8.6.1 資料關聯與子查詢 109
8.6.2 關聯 112
8.6.3 資料對比 113
8.7 小結 115

第9章 日誌告警 116
9.1 概述 117
9.2 監控設置 117
9.3 告警監控分類 120
9.3.1 命中數統計類型的告警監控 121
9.3.2 欄位統計類型的告警監控 121
9.3.3 連續統計類型的告警監控 122
9.3.4 基線對比類型的告警監控 122
9.3.5 自訂統計類型的告警監控 123
9.3.6 智能告警 124
9.4 告警方式 124
9.4.1 告警發送方式 124
9.4.2 告警抑制和恢復 126
9.4.3 告警的外掛程式化管理 127
9.5 小結 127

第10章 日誌視覺化 128
10.1 概述 129
10.2 視覺化分析 129
10.2.1 初識視覺化 129
10.2.2 圖表與資料 130
10.3 圖表詳解 131
10.3.1 序列類圖表 132
10.3.2 維度類圖表 136
10.3.3 關係類圖表 140
10.3.4 複合類圖表 143
10.3.5 地圖類圖表 145
10.3.6 其他圖表 146
10.4 日誌視覺化案例 151
10.4.1 MySQL性能日誌視覺化 151
10.4.2 金融業務日誌視覺化 155
10.5 小結 158

第11章 日誌平臺相容性與擴展性 159
11.1 RESTful API 160
11.1.1 RESTful API概述 160
11.1.2 常見日誌管理API類型 161
11.1.3 API設計案例 162
11.2 日誌App 163
11.2.1 日誌App概述 163
11.2.2 日誌App的作用和特點 163
11.2.3 常見日誌App類型 164
11.2.4 典型日誌App案例 167
11.2.5 日誌App的發展 171

第12章 運維資料治理 172
12.1 運維資料治理背景 173
12.2 運維資料治理方法 175
12.2.1 中繼資料管理 176
12.2.2 主資料管理 176
12.2.3 資料標準管理 176
12.2.4 資料品質管理 177
12.2.5 資料模型及服務 177
12.2.6 資料安全 177
12.2.7 資料生命週期 177
12.3 運維資料治理工具 178
12.3.1 工具定位 178
12.3.2 整體架構 178
12.3.3 資料接入管理 179
12.3.4 資料標準化管理 179
12.3.5 資料存儲管理 182
12.3.6 資料應用與服務 184

第13章 智能運維 186
13.1 概述 187
13.2 異常檢測 187
13.2.1 單指標異常檢測 188
13.2.2 多指標異常檢測 193
13.3 根因分析 195
13.3.1 相關性分析 195
13.3.2 事件關聯關係挖掘 197
13.4 日誌分析 197
13.4.1 日誌預處理 198
13.4.2 日誌模式識別 199
13.4.3 日誌異常檢測 199
13.5 告警收斂 200
13.6 趨勢預測 202
13.7 故障預測 203
13.7.1 故障預測的方法 203
13.7.2 故障預測的落地與評估 204
13.8 智慧運維對接自動化運維 205
13.9 智能運維面臨的挑戰 206

第14章 可觀測性 207
14.1 概述 208
14.1.1 可觀測性的由來 208
14.1.2 可觀測性與監控 208
14.1.3 可觀測性的三大支柱 209
14.2 實現可觀測性的方法 210
14.2.1 資料模型 211
14.2.2 資料來源 211
14.3 可觀測性應用場景 215
14.3.1 運維監控 215
14.3.2 鏈路追蹤 217
14.3.3 指標探索 219
14.3.4 故障定位 220
14.4 小結 221

第15章 SIEM 222
15.1 概述 223
15.2 資訊安全建設中存在的問題 223
15.3 日誌分析在SIEM中的作用 224
15.4 日誌分析與安全設備分析的異同 224
15.5 SIEM功能架構 225
15.6 SIEM適用場景 226
15.7 用戶行為分析 234
15.8 流量分析 240
15.8.1 流量協議介紹 240
15.8.2 流量分析功能 241
15.8.3 從WebLogic RCE漏洞到挖礦 241
15.9 小結 249

第16章 UEBA 250
16.1 深入理解用戶行為 251
16.1.1 背景介紹 251
16.1.2 資料來源 252
16.1.3 標籤畫像 254
16.2 行為分析模型 255
16.2.1 分析方法 255
16.2.2 機器學習模型 257
16.3 應用場景 261
16.3.1 資料洩露 261
16.3.2 離職分析 261
16.3.3 合規分析 261
16.3.4 失陷帳戶 262
16.4 小結 265

第17章 安全編排、自動化與回應 266
17.1 SOAR簡介 267
17.2 SOAR架構與功能 268
17.2.1 技術架構 268
17.2.2 劇本與組件的定義 269
17.2.3 劇本與元件的使用 269
17.3 SOAR與SIEM的關係 271
17.3.1 SOAR與SIEM關聯使用 273
17.3.2 SOAR與SIEM資訊同步 274
17.4 應用場景 276
17.4.1 自動化封禁場景 276
17.4.2 DNS網路取證分析場景 277
17.5 小結 279

第18章 行業解決方案 280
18.1 概述 281
18.2 銀行行業解決方案 281
18.2.1 行業背景 281
18.2.2 行業當前挑戰 281
18.2.3 整體建設思路 282
18.2.4 項目整體收益 286
18.3 證券行業解決方案 286
18.3.1 行業背景 286
18.3.2 行業當前挑戰 286
18.3.3 整體建設思路 287
18.3.4 項目整體收益 289
18.4 保險行業解決方案 290
18.4.1 行業背景 290
18.4.2 行業當前挑

北京優特捷資訊技術有限公司（簡稱“日誌易”）是工業和資訊化部認定的專精特新“小巨人”企業，擁有信創自研的日誌搜尋引擎Beaver與搜索處理語言SPL（Search Processing Language），技術自主可控。日誌易致力於日誌管理與分析技術的開發、實踐與推廣，已經説明數百家大型企業加速推進數位化轉型。本書作者團隊成員包括日誌易創始人&CEO陳軍、技術負責人黎吾平、運維產品負責人&行業專家饒琛琳、安全產品負責人施澤寰等。日誌易創始人&CEO陳軍，前高德地圖技術副總裁，曾任職Cisco、Google、騰訊等國際知名公司，擁有20餘年IT及互聯網研發管理經驗，在資料中心、雲計算、大資料、搜索和日誌分析領域有豐富經驗，發明了4項網路及分散式系統美國專利。日誌易創始人&CEO陳軍，前高德地圖技術副總裁，曾任職Cisco、Google、騰訊等國際知名公司，擁有20餘年IT及互聯網研發管理經驗，在資料中心、雲計算、大資料、搜索和日誌分析領域有豐富經驗，發明了4項網路及分散式系統美國專利。