一、环境准备与日志服务开通
阿里云日志服务(SLS)提供完整的日志管理解决方案,建议按以下步骤完成初始化配置:
- 登录控制台创建日志项目(Project)和日志库(Logstore),建议按业务类型划分存储空间
- 为ECS服务器安装ilogtail采集器,该组件支持Kubernetes集群部署
- 在日志服务控制台配置访问密钥,确保采集器具有写入权限
二、日志采集与预处理
通过规则引擎实现日志结构化处理:
- 配置日志源时指定正则表达式提取关键字段,如时间戳、请求方法、状态码等
- 使用
__topic__标记区分访问日志与错误日志 - 设置日志生命周期策略,热存数据保留7天,冷存数据自动归档至OSS
type tail path /var/log/nginx/access.log tag nginx.access @type parser key_name log reserve_data true parse /^(?[^ ]*) (?[^ ]*) \[(?[^\]]*)\]/
三、分析实战与可视化
通过SQL语法实现多维分析:
- 统计请求方法分布:
SELECT request_method, COUNT(*) AS cnt GROUP BY request_method - 识别异常状态码:
SELECT status, COUNT(*) WHERE status >= 400 - 集成Grafana制作实时监控看板,安装阿里云日志服务插件并配置数据源
四、安全审计与告警配置
基于日志分析构建安全防护体系:
- 创建定时扫描任务,检测暴力破解行为:
SELECT COUNT(*) WHERE event_type='login_failure' - 配置阈值告警规则,当异常请求量超过阈值时触发通知
- 开启日志投递功能,将关键日志同步至ActionTrail实现审计合规
实施建议
建议采用分层架构设计,将原始日志与加工日志分开存储。对于日均TB级日志量的系统,推荐使用Presto分布式查询引擎实现秒级响应。定期检查日志采集状态,可通过GET /metrics接口监控ilogtail运行状况。
