帮助文档

导入日志文件

Log360 Cloud 帮助您收集并分析来自服务器、网络设备和应用等不同来源的日志。该解决方案提供可操作的智能,帮助安全团队掌握组织内的安全威胁。

该解决方案为您提供导入日志文件的功能。支持的日志格式包括 Windows 和 syslog 设备格式、应用日志格式以及归档文件日志格式。

支持的日志格式

  • IIS Web 日志(不支持通过代理收集的日志)
  • IIS FTP 日志
  • Apache
  • DHCP Windows
  • DHCP Linux
  • IBM AS400
  • IBM Maximo
  • SAP erp 审计日志
  • Syslog
  • Mssql 服务器日志
  • Db2 日志
  • Mysql
  • PGSQL
  • 自定义日志格式(可以导入自定义应用日志)

导入日志文件的步骤

导航至 导入配置 页面,使用以下任一菜单选项:

  • 设置 → 配置设置 → 日志源配置 → 导入日志
  • 首页 → 日志源 → 应用 → 导入日志

从不同位置导入日志文件

Log360 Cloud 允许您通过以下方式导入日志:

注意:
  • 使用 上传文件来自云 选项一次只能导入 512 MB
  • 存储消耗可能与导入文件不同,因为解析的日志需要存储,这可能导致额外的存储使用。

通过上传日志文件导入日志文件

通过此选项,您可以从任何能够访问 Log360 Cloud 的设备导入日志文件。

注意:日志导入无法安排定期运行。
  • 选择文件 选项中,选择 上传文件.
  • 点击 浏览 以从本地设备选择所需文件。
  • 如果您知道日志文件的日志格式,请从下拉菜单中选择。如果您不知道日志格式,请选择 自动识别.
  • 点击 + 按钮确定 选择日志文件关联的设备。您也可以输入设备名称或从弹出窗口中选择设备。
  • 点击 导入.
    • 导入日志数据

通过代理从设备导入日志文件

Log360 Cloud 使用代理通过以下协议从设备导入日志文件:

  • SMB-Windows
  • SFTP

从设备导入日志文件需要身份验证。该身份验证可通过两种方式完成:

  1. 用户名和密码
  2. SSH 私钥文件共享(特定于 SFTP 协议)

身份验证类型:密码

  • 选择文件 选项中,选择 从设备.
  • 输入您希望导入日志文件的服务器名称。
  • 选择执行日志采集的代理。选择 自动分配 让 Log360 Cloud 分配合适的代理。
  • 选择所需协议( SMB-Windows 或 SFTP )并输入端口号。
  • 提供 用户名密码。对于 SFTP设置 身份验证类型 为密码。
  • 点击 浏览 并选择所需文件。手动添加文件点击右上角的 手动添加文件 选项。点击 确定.
  • 浏览并选择 关联设备.
  • 您可以选择安排日志导入的具体时间间隔。

身份验证类型:基于 SFTP 的 SSH 私钥文件共享

导入日志数据
  1. 选择 从设备 来自 选择文件 列出的选项。
  2. 输入您希望导入日志文件的服务器名称。
  3. 选择所需的代理以执行此日志收集。选择“自动分配”以让Log360 Cloud分配适当的代理。
  4. 选择 SFTP 作为协议并输入端口号。(默认端口值为22)
  5. 提供用户名并选择 密钥文件 作为 身份验证类型.
    6. 注意:Log360 Cloud仅支持OpenSSH密钥文件格式。
  6. 浏览并从设备中选择密钥文件。您可以参考此 链接 了解如何使用ssh-keygen(一种Secure Shell协议的标准组件)生成密钥文件。
  7. 如果密钥文件受密码保护,选择 使用密码 复选框并在下方字段输入密码。
  8. 浏览并选择 关联设备.
  9. 如果您想定期自动导入日志文件,请启用 定期导入日志 选项。
  10. 此外,您可以使用给定的时间格式选项构建 文件名模式 用于导入的日志文件。按指定时间存储的文件名将根据文件名模式进行更新。
  11. 点击 导入 以保存配置。

从面向互联网的FTP/SFTP服务器导入日志:

要从面向互联网的FTP或SFTP服务器导入日志,

  1. 选择 来自云 来自 选择文件 列出的选项。
  2. 选择 FTP/SFTP服务器 来自 文件位置 选项一次只能导入 512 MB
  3. 输入用于导入日志文件的服务器名称。
  4. 选择协议(FTP或SFTP))并输入端口号。
  5. 提供凭据:
    • FTP:用户名和密码
    • SFTP:用户名和密码,或密钥文件和密码
  6. 从服务器选择文件并点击“确定".
  7. 选择 关联的日志源.
  8. 要自动导入,请启用“定期导入日志”。
  9. 此外,使用时间格式选项创建文件名模式。文件名将根据该模式更新。
  10. 点击“导入”以保存。

    11. 导入日志数据

从云存储导入日志文件

要从AWS S3存储桶导入日志,您首先需要创建一个具有访问S3存储桶权限的IAM用户。

配置AWS S3存储桶以导入日志,

  • “来自云” 选项卡中,选择 “AWS S3存储桶” 来自 “文件位置” 并点击显示的链接以配置AWS账户。
    • 导入日志数据

    您将被重定向到AWS配置页面。

  • 输入 显示名称、访问密钥,以及 密钥秘密 并点击 添加.
    • 导入日志数据
  • 添加AWS账户后,它将出现在 “来自云” 选项卡的下拉列表中。
  • 从下拉列表中选择AWS账户。
  • 点击 浏览 并选择要导入的文件。点击 确定.
  • 浏览并选择 关联的日志源.
  • 为了定期自动导入日志文件,启用 “定期导入日志”.
  • 此外,您可以使用给定的时间格式选项构建 文件名模式 并使用给定的时间格式选项创建文件名模式。按指定时间存储的文件名将根据文件名模式进行更新。
  • 点击 导入 以保存配置。

    • 导入日志数据

创建文件特定命名约定的步骤

  • 从应用程序的日志文件夹或应用配置中识别日志写入模式。
  • 在Log360 Cloud中,导航至 设置 → 日志源配置 → 导入日志 → + 导入日志 → 从设备\从云 并填写所需详情。
  • 浏览文件并选择要配置日志收集计划的日志文件。
  • 所选日志文件的命名应遵循模式(日期、时间或根据需求的任何模式),该模式将在产品创建的后续文件中复制。
  • 选择日志文件后,勾选 定期导入日志 复选框以及 指定文件名模式.
  • 点击 高级选项。对于每个选择的文件,将分别显示用于计划模式导入的文本框。
  • 在文本框中输入文件名模式,使其与文件名匹配。

    • 例如,假设一个应用程序按日期计划写日志。取2023年11月22日生成的文件名为LOG_22_11_2023。这里前半部分“LOG_”保持不变,后半部分即日期“22_11_2023”每天变化。基于此,从下拉菜单选择模式为“LOG_${DD}_${MM}_${YYYY}”。

  • 命名文件时,请在指定模式中包含文件扩展名。例如,如果文件名为catalina_log_2024_03_04.txt,则模式应为catalina_log_${YYYY}_${MM}_${DD}.txt

    • 下拉菜单将提供多个选项,如下图所示。

    导入日志数据

MySQL日志

Log360 Cloud仅支持MySQL的错误日志和通用日志。MySQL登录失败记录在MySQL通用查询日志中。

要启用MySQL日志,

  • 打开 my.cnf 文件(Linux环境)或my.ini文件(Windows环境),并添加以下条目。
  • 对于 错误日志:log_error=<错误日志文件名>
  • 对于 通用日志:
    • >= v5.1.29:general_log_file=<通用日志文件名> general_log=1 (或)ON
    • < v5.1.29:log=<日志文件名>
  • 重启MySQL实例以使更改生效。

要在Log360 Cloud中导入MySQL日志,

PostgreSQL日志

PostgreSQL日志的格式由postgresql.conf文件中设置的log_line_prefix参数决定。

PostgreSQL日志的默认格式为'%m [%p] ',记录时间戳和进程ID。

复制到剪贴板

log_line_prefix = '%m [%p] '

Log360 Cloud默认支持此格式。

在Log360 Cloud中导入附加字段

如果用户想添加附加字段,则必须更改postgresql.conf文件中的log_line_prefix参数。

log_line_prefix参数必须遵循postgresql.conf文件中给出的格式(键-值对)。

log_line_prefix格式:

log_line_prefix = 'time_stamp=%m or %t process_id=%p application_name=%a database_name=%d connection_from_with_port=%r connection_from=%h session_id=%c transaction_id=%x user_name=%u command_tag=%i sql_state_code=%e session_start_time=%s '

log_line_prefix参数
带毫秒或不带毫秒的时间戳 time_stamp %m或 %t
进程ID process_id %p
应用名称 application_name %a
数据库名称 database_name %d
远程主机名或IP地址及远程端口 connection_from_with_port %r
远程主机名或IP地址 connection_from %h
会话ID session_id %c
事务ID transaction_id %x
用户名 user_name %u
命令标签:会话当前命令的类型 command_tag %i
SQLSTATE 错误代码 sql_state_code %e
进程启动时间戳 session_start_time %s

SAP ERP 审计日志

要添加 SAP ERP 应用程序进行监控,必须启用审计日志。

启用 SAP ERP 审计日志的方法:

在路径 <SAP_installed path>\sys\profile 的 DEFAULT.PFL 文件中添加

  • rsau/enable = 1
  • rsau/local/file = <log location>/audit_00
注意:用户在导入时应有权限读取此审计文件。

DHCP 日志

Log360 Cloud 可以读取并生成 Windows 和 Linux 系统的 DHCP 服务器软件报告。它提供各种简化网络管理的报告。

对于 Windows:

注意:一旦共享了 Windows 下的 DHCP 日志位置(即 %windir%\System32\Dhcp),即可自动使用该 UNC 路径每天获取并导入日志至 Log360 Cloud。

配置步骤如下:

  1. 共享 DHCP 日志文件夹。
  2. 打开 Log360 Cloud 并转到 设置 → 导入日志 → + 导入日志 → 上传文件\从设备\从云 → 浏览文件并选择 DHCP Windows 日志 来自 日志格式.
  3. 如需了解如何从不同位置导入日志文件,请参阅此处。

对于 Linux:

Linux 默认的 DHCP 日志位置是 "var/log/syslog" 或 "var/log/messages"(旧版本)。

如果上述文件中没有 DHCP 服务器日志,请按照以下步骤操作。要将 DHCP 服务器日志单独存储在一个文件中,管理员需修改以下配置文件:

  • /etc/dhcp/dhcpd.conf - DHCP 服务器配置文件
  • /etc/rsyslog.conf - rsyslog 配置文件
  1. 查找 dhcpd.conf 文件中 "log-facility" 的值。
  2. 在 rsyslog.conf 文件中查找与上一步识别的 log-facility 相对应的日志文件路径。该路径即为 DHCP 服务器日志文件路径。

在 Log360 Cloud 中配置 DHCP,步骤如下:

  1. 共享 DHCP 日志文件夹。
  2. 打开 Log360 Cloud,转到“设置”选项卡 > 导入日志 > 上传文件\从设备\从云 > 浏览文件。
  3. 如需了解如何从不同位置导入日志文件,请参阅此处。

DB2 审计日志

Db2 数据库系统支持实例级和数据库级的审计。使用 db2audit 工具配置审计过程。该工具也可以用于存档和提取实例级和数据库级的审计日志。审计功能可通过以下六个步骤配置。

  1. 配置 db2audit 数据路径、存档路径和作用域。
  2. 创建数据库审计策略。
  3. 将审计策略分配给数据库。
  4. 存档活动日志。
  5. 提取存档日志。
  6. 将日志导入 Log360 Cloud。

Log360 Cloud 还支持诊断日志。点击此处了解如何生成诊断日志报告。

1. 配置 db2audit 数据路径、存档路径和作用域

configure 参数修改实例安全子目录中的 db2audit.cfg 配置文件。即使实例停止,该文件的所有更新仍会发生。实例活动时的更新将动态影响 Db2 实例正在进行的审计。有关配置文件所有可能操作的更多信息,请参阅源文档。

  • 以管理员权限打开 DB2 命令行处理器。
  • 运行以下命令:
    • 复制到剪贴板

    db2audit configure datapath"C:\IBM\DB2\DataPath"archivepath"C:\IBM\DB2\ArchivePath"

    注意:请将以上路径分别替换为您选择的数据路径和存档路径。
  • 运行以下命令:
    • 复制到剪贴板

    db2audit configure scope all status both error type normal

    注意:请将上述参数替换为您选择的参数。
  • 运行以下命令:
    • 复制到剪贴板

    db2audit start

    现在,DB2 实例将在指定数据路径生成日志。

2. 创建数据库审计策略

  • 以管理员权限打开 DB2 命令行处理器。
  • 运行以下命令连接数据库:
    • 复制到剪贴板

    db2 connect toyour_database

    注意:将 your_database 替换为您选择的数据库名称。
  • 运行以下命令为数据库创建审计策略:
    • 复制到剪贴板

    db2 create audit policypolicy_namecategoriesallstatusbotherror typeaudit

    注意:将 policy_name 替换为您选择的策略名称。将上述参数替换为您选择的命令参数。有关允许的命令参数详情,请参阅源文档。
  • 运行以下命令提交:
    • 复制到剪贴板

    db2 commit

    现在已创建审计策略。

3. 将审计策略分配给数据库

  • 以管理员权限打开 DB2 命令行处理器。
  • 运行以下命令将策略分配给数据库:
    • 复制到剪贴板

    db2 audit database using policypolicy_name

    注意:将 policy_name 替换为您创建的审计策略名称。
  • 运行以下命令提交:
    • 复制到剪贴板

    db2 commit

    现在,创建的审计策略已分配给数据库。

4. 存档活动日志

您可以存档实例和数据库的活动日志。日志将存档到第一步中配置的存档路径。

  • 以管理员权限打开 DB2 命令行处理器。
  • 运行以下命令存档活动数据库日志:
    • 复制到剪贴板

    db2audit archive databaseyour_database>

    注意:将 your_database 替换为数据库名称。
  • 运行以下命令存档活动实例日志:
    • 复制到剪贴板

    db2audit archive

    现在,日志将存档到带有时间戳的文件名中。文件名示例如下。

  • 实例日志文件:db2audit.instance.log.0.20060418235612
  • 数据库日志文件:db2audit.db.your_database.log.0.20060418235612

    • 两个文件都需提取为人类可读的格式后才能导入 Log360 Cloud。

5. 提取存档日志

  • 以管理员权限打开 DB2 命令行处理器。
  • 运行以下命令提取存档实例日志:

    • db2audit extract fileC:/IBM/DB2/instancelog.txt from files db2audit.instance.log.0.20060418235612

    注意:将 instancelog 替换为您选择的文件名,将 db2audit.instance.log.0.20060418235612 替换为存档实例日志的文件名。
  • 运行以下命令提取存档数据库日志:

    • db2audit extract fileC:/IBM/DB2/databaselog.txt from files db2audit.db.your_database.log.0.20060418235612

    注意:将 databaselog 替换为您选择的文件名,将 db2audit.db.your_database.log.0.20060418235612 替换为存档数据库日志的文件名。

    两个文件都会被提取到给定的存档路径,可导入 Log360 Cloud。

6. 将日志导入 Log360 Cloud

现在,您需要将提取的数据库和实例日志文件导入 Log360 Cloud。这里有一份关于如何导入日志文件的详细指南。 Log360 Cloud.

诊断日志

Log360 Cloud 还提供诊断日志报告。生成诊断日志报告,请执行以下步骤。

  • 运行以下命令查找诊断日志文件的位置。
    • 复制到剪贴板

    db2 get dbm cfg | findstr DIAGPATH

    复制到剪贴板

    db2 get dbm cfg | grep DIAGPATH

    复制到剪贴板

    db2 get dbm cfg

    注意:与以下项对应的路径 Current member resolved DIAGPATH 即为诊断日志文件路径。
  • 导航至指定路径,将名为 db2diag.txt 的文件导入 Log360 Cloud。
  • 这里有一份关于 如何导入日志文件 至 Log360 Cloud 的完整指南。

导入故障排除技巧

若要排查导入失败,执行以下步骤:

  1. 为解决本地导入问题,请在浏览器设置中启用跨站点 cookie。这是因为本地导入使用了内部跨域。启用跨站点 cookie,步骤如下:
    • 打开浏览器设置。
    • 进入隐私或安全部分。
    • 找到 cookie 设置。
    • 为本网站启用跨站点 cookie 或允许所有 cookie。
  2. 确保使用的凭证有效且具有必要权限。
  3. 确认文件导入所用服务器可访问。
  4. 检查指定文件的存在及可访问性。
  5. 检查选中的日志文件格式是否与下拉菜单选择的格式匹配。
  6. 确保导入的日志文件非空。
  7. 检查 Log360 Cloud 账户中是否有足够存储空间容纳导入的日志。
  8. 核实是否购买了必要的订阅计划。
  9. 从 AWS 存储桶导入时配置合适的策略。

已导入日志文件列表

您可以查看 Log360 Cloud 安装中所有已导入日志文件的列表。这是选择导入日志选项时显示的默认页面。该页面显示导入日志文件的详细信息,包括文件名、设备、监控间隔、导入所用时间、日志格式及日志文件大小。

导入日志数据

Apache 概览仪表盘:通过修改日志格式解析附加字段

Combined Log Format 是 Apache 日志中常用的一种日志格式。

Combined Log Format 为:

复制到剪贴板

%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"

导入 Combined log 格式的日志文件时,日志文件不会包含响应时间和接收字节字段的值。

Apache 概览仪表盘中的以下部件仅当 响应时间接收字节 字段被解析时,才能准确显示其值。

  1. 传输字节数
  2. 排名前20的最慢URL
  3. 网站活动趋势
  4. 排名前10的最慢服务器
导入日志数据

为了解析这些附加字段,必须修改日志格式。一旦日志配置了参数“%{ms}T”和“%I”,即可获取附加字段的值。

Log360 Cloudr 默认可以解析修改后的日志格式。

包含响应时间和接收字节数参数的修改日志格式为:

复制到剪贴板

%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\" %{ms}T %I

%{ms}T - 处理请求所用时间(毫秒) %I - 接收的字节数,包括头部

注意:需要启用 modlog_io https://httpd.apache.org/docs/2.4/mod/mod_logio.html

修改后的日志格式除了常用的 Combined Log Format 外,还有两个指令。这些指令出现在格式的末尾,因此 Combined Log Format 会像以前版本那样继续被解析。

更改 Apache 日志格式的步骤

注意:配置文件默认位于 Debian/Ubuntu/Linux Mint 的 /etc/apache2/ 或 Red Hat/Fedora/CentOS 的 /etc/httpd/conf
  1. 定义一个新的日志格式并为其分配标签。
    2. 复制到剪贴板

    LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\" %{ms}T %I" modified

  2. 标签可用于作为 customLog 指令引用新的格式字符串。
  3. CustomLog logs/access.log modified
  4. 重新启动 Web 服务器后,新格式将生效。
  5. 导入日志文件后,更新的 Apache 概览仪表板如下所示:
    6. 导入日志数据

© 2025 Zoho Corporation Pvt. Ltd. 保留所有权利。