操作場景

數據收集成功后，您可以在查詢分析頁面對收集到的日志數據進行實時查詢分析。

前提條件

已完成數據接入，詳細操作請參見云服務接入。

輸入查詢條件進行查詢分析

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“日志審計 > 安全數據”，進入安全分析頁面。 

5. 在左側數據空間導航欄中，單擊數據空間名稱，展開數據管道列后，再單擊管道名稱，右側將顯示管道數據的檢索頁面。

6. 在管道數據檢索頁面，輸入查詢分析語句。

   查詢分析語句由查詢語句和分析語句構成，格式為 查詢語句|分析語句 ，查詢分析語句語法詳細內容請參見查詢與分析語法。

   說明

   如果篩留字段為text類型時，默認會使用MATCH_QUERY進行分詞查詢。

7. 單擊“15分鐘（相對）”，設置查詢時間范圍。

   您可以選擇相對時間（15分鐘、1小時、24小時），或自定義查詢時間。

8. 單擊“查詢/分析”，查看查詢分析結果。

使用已有字段進行查詢分析

本部分將介紹如何使用已有字段對接入日志進行查詢分析。

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“日志審計 > 安全數據”，進入安全分析頁面。 

5. 在左側數據空間導航欄中，單擊默認數據空間名稱，展開數據管道列后，單擊管道名稱，右側將顯示管道數據的檢索頁面。

6. 設置查詢條件。

   說明

   如果篩留字段為text類型時，默認會使用MATCH_QUERY進行分詞查詢。

   • 單擊左側可選字段前的，并單擊待篩選或待排查字段名稱后的（篩選某字段值）或（排除某字段值），查詢框中將按照已篩選或排查的字段進行查詢。

     

   • 如果您已展開某時間點的具體日志數據，需要篩選某些字段，可以單擊該字段名稱前的（篩選某字段值）或（排除某字段值），查詢框中將按照已篩選或排查的字段進行查詢。

     

7. 默認查詢并顯示最近15分鐘內數據。如果需要查詢其他時間段日志數據，則需要設置查詢時間，并單擊“查詢分析”。

創建快速查詢

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間> 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在左側導航欄選擇“日志審計 > 安全數據”，進入安全分析頁面。

5. 在左側數據空間導航欄中，單擊數據空間名稱，展開數據管道列后，再單擊管道名稱，右側將顯示管道數據的檢索頁面。

6. 輸入查詢分析語句，設置時間范圍，并單擊“查詢/分析”。

   更多查詢分析詳細操作請參見輸入查詢條件進行查詢分析。

7. 單擊頁面右上角“保存為快速查詢”，在右側頁面中配置查詢參數。

   參數名稱	參數說明
   查詢名稱	設置快速查詢的名稱。
   查詢語句	系統自動生成步驟6中輸入的查詢語句。

8. 單擊“確定”。

   創建快速查詢后，您可以在管道數據的查詢分析頁面中，單擊快速查詢搜索框中的，并選擇目標快速查詢名稱，即可使用快速查詢。

操作查詢分析結果

態勢感知（專業版）通過 原始日志 、 日志分布直方圖 、圖表統計形式展示查詢分析結果。

• 日志分布直方圖

  此處將展示查詢到的日志在時間上的分布情況，同時，將鼠標放在柱狀圖上，可查看該數據塊代表的時間和日志命中次數。

  

• 原始日志

  在“原始日志”頁簽將展示當前查詢結果。

  

  • 設置顯示日志數據信息：

    • 頁面中默認展示最近15分鐘內的日志數據，如果需要展示其他時間數據，可以在右上角選擇展示的時間。 

      

    • 如需查看某時間所有字段中的數據，可單擊表格中對應時間前方的展開所有數據，默認展示以表格形式展示數據。

      如需查看JSON格式數據，可以選擇“JSON”頁簽，頁面將展示JSON格式的數據。

      

    • 如需在列表中展示/篩選某些字段信息，可在右側可選字段中選擇需展示的字段，并單擊字段名稱后的，該字段將顯示在右側日志數據列表中。 

      

      • 字段選中后，如需 調整顯示先后順序 ，可在右側日志數據列表的表頭列單擊該字段名稱后的（向左移一列）、（向右移一列）按鈕來進行調整。 

        

      • 字段選中后，如需 取消 ，可在右側日志數據列表的表頭列單擊該字段名稱后的按鈕來進行取消，或左側在“選定字段”單擊該字段名稱后的按鈕來取消顯示。

        

  • 導出日志：在原始日志頁簽，在頁面右上方單擊圖標，系統將自動下載當前原始日志表格到本地。

• 圖表統計

  查詢語句查詢后，在“圖表統計”頁簽可以查看可視化的查詢分析結果。

  圖表統計是態勢感知（專業版）根據查詢分析語句渲染出的結果，提供有表格、線圖、柱狀圖、餅圖等多種圖表類型，詳細信息請參見查看圖表統計結果。

• 告警

  在查詢分析頁面右上角單擊“添加高警”，可以將查詢分析結果設置告警，詳細信息請參見快速添加日志告警模型。

• 快速查詢

  在查詢分析頁面右上角單擊“保存為快速查詢”，可以將某一查詢分析條件保存為快速查詢，詳細信息請參見快速查詢。