本书基于主流日志管理与分析系统的设计理念，完善、透彻地对日志分析各流程模块的原理与实现进行了系统性讲解，综合介绍了日志分析技术在数据治理、智能运维、可观测性、SIEM、UEBA、SOAR等IT运维及安全复杂场景中的应用，并汇总了各行业优秀的解决方案。
第1～3章介绍了日志分析的基本概念、日志管理相关的法律法规及规范要求、日志管理与分析系统的组成部分及技术选型建议。第4～10章分别针对日志采集、字段解析、日志存储、日志分析、日志数据搜索处理语言SPL、日志告警、日志可视化等日志分析中最重要的实现步骤进行了具体阐述。第11～14章介绍了日志平台兼容性与扩展性，日志分析在运维数据治理、智能运维与可观测性等近年热门场景中的应用。第15～17章介绍了SIEM、NTA、UEBA及SOAR等安全相关内容。第18章总结列举了日志管理与分析技术方案在金融、能源、运营商等各关键行业的解决方案。
本书涵盖了日志管理与分析的原理与实现思路，全面阐述了日志分析在运维、安全、可观测性等领域的应用。通过本书，IT运维、安全、研发、架构及管理人员可以更好地理解日志、实现日志的价值。

北京优特捷信息技术有限公司（简称“日志易”）是工业和信息化部认定的专精特新“小巨人”企业，拥有信创自研的日志搜索引擎Beaver与搜索处理语言SPL（Search Processing Language），技术自主可控。日志易致力于日志管理与分析技术的开发、实践与推广，已经帮助数百家大型企业加速推进数字化转型。
本书作者团队成员包括日志易创始人＆CEO陈军、技术负责人黎吾平、运维产品负责人＆行业专家饶琛琳、安全产品负责人施泽寰等。日志易创始人＆CEO陈军，前高德地图技术副总裁，曾任职Cisco、Google、腾讯等国际知名公司，拥有20余年IT及互联网研发管理经验，在数据中心、云计算、大数据、搜索和日志分析领域有丰富经验，发明了4项网络及分布式系统美国专利。
日志易创始人＆CEO陈军，前高德地图技术副总裁，曾任职Cisco、Google、腾讯等国际知名公司，拥有20余年IT及互联网研发管理经验，在数据中心、云计算、大数据、搜索和日志分析领域有丰富经验，发明了4项网络及分布式系统美国专利。

第1章 走近日志
1.1 什么是日志
1.1.1 日志的概念
1.1.2 日志生态系统
1.1.3 日志的作用
1.2 日志数据
1.2.1 日志环境与日志类型
1.2.2 日志语法
1.2.3 日志管理规范
1.2.4 日志使用误区
1.3 云日志
1.4 日志使用场景
1.4.1 故障排查
1.4.2 运维监控
1.4.3 安全审计
1.4.4 业务分析
1.4.5 物联网
1.5 日志未来展望
第2章 日志管理
2.1 日志管理相关法律
2.2 日志管理要求
2.3 日志管理中存在的问题
2.4 日志管理的好处
2.5 日志归档
第3章 日志管理与分析系统
3.1 日志管理与分析系统的基本功能
3.1.1 日志采集
3.1.2 数据清洗
3.1.3 日志存储
3.1.4 日志告警
3.1.5 日志分析
3.1.6 日志可视化
3.1.7 日志智能分析
3.1.8 用户与权限管理
3.1.9 系统管理
3.2 日志管理与分析系统技术选型
3.2.1 日志分析的基本工具
3.2.2 开源+自研
3.2.3 商业产品
3.3 小结
第4章 日志采集
4.1 日志采集方式
4.1.1 Agent采集
4.1.2 Syslog
4.1.3 抓包
4.1.4 接口采集
4.1.5 业务埋点采集
4.1.6 Docker日志采集
4.2 日志采集常见问题
4.2.1 事件合并
4.2.2 高并发日志采集
4.2.3 深层次目录采集
4.2.4 大量小文件日志采集
4.2.5 其他日志采集问题
4.3 小结
第5章 字段解析
5.1 字段的概念
5.2 通用字段
5.2.1 时间戳
5.2.2 日志来源
5.2.3 执行结果
5.2.4 日志优先级
5.3 字段抽取
5.3.1 日志语法
5.3.2 字段抽取方法
5.3.3 常用日志类型的字段抽取
5.4 schema on write与schema on read
5.5 字段解析常见问题
5.5.1 字段存在别名
5.5.2 多个时间戳
5.5.3 特殊字符
5.5.4 封装成标准日志
5.5.5 类型转换
5.5.6 敏感信息替换
5.5.7 HEX转换
5.6 小结
第6章 日志存储
6.1 日志存储形式
6.1.1 普通文本
6.1.2 二进制文本
6.1.3 压缩文本
6.1.4 加密文本
6.2 日志存储方式
6.2.1 数据库存储
6.2.2 分布式存储
6.2.3 文件检索系统存储
6.2.4 云存储
6.3 日志物理存储
6.4 日志留存策略
6.4.1 空间策略维度
6.4.2 时间策略维度
6.4.3 起始位移策略维度
6.5 日志搜索引擎
6.5.1 日志搜索概述
6.5.2 实时搜索引擎
6.6 小结
第7章 日志分析
7.1 日志分析现状
7.1.1 对日志的必要性认识不足
7.1.2 缺乏日志分析专业人才
7.1.3 日志体量大且分散，问题定位难
7.1.4 数据外泄
7.1.5 忽略日志本身的价值
7.2 日志分析解决方案
7.2.1 数据集中管理
7.2.2 日志分析维度
7.3 常用分析方法
7.3.1 基线
7.3.2 聚类
7.3.3 阈值
7.3.4 异常检测
7.3.5 机器学习
7.4 日志分析案例
7.4.1 Linux系统日志分析案例
7.4.2 运营分析案例
7.4.3 交易监控案例
7.4.4 VPN异常用户行为监控案例
7.4.5 高效运维案例
7.5 SPL简介
7.6 小结
第8章 SPL
8.1 SPL简介
8.2 SPL学习经验
8.3 小试牛刀
8.3.1 基本查询与统计
8.3.2 统计命令
8.3.3 分时统计
8.3.4 重命名
8.4 图表的使用
8.4.1 可视化：体现数据趋势的图表
8.4.2 快速获取排名
8.5 数据整理
8.5.1 赋值与计算
8.5.2 只留下需要的数据
8.5.3 过滤项
8.5.4 利用表格
8.5.5 排序突出重点
8.5.6 去冗余
8.5.7 限量显示
8.5.8 实现跨行计算
8.5.9 只留下想要的字段
8.6 关联分析
8.6.1 数据关联与子查询
8.6.2 关联
8.6.3 数据对比
8.7 小结
第9章 日志告警
9.1 概述
9.2 监控设置
9.3 告警监控分类
9.3.1 命中数统计类型的告警监控
9.3.2 字段统计类型的告警监控
9.3.3 连续统计类型的告警监控
9.3.4 基线对比类型的告警监控
9.3.5 自定义统计类型的告警监控
9.3.6 智能告警
9.4 告警方式
9.4.1 告警发送方式
9.4.2 告警抑制和恢复
9.4.3 告警的插件化管理
9.5 小结
第10章 日志可视化
10.1 概述
10.2 可视化分析
10.2.1 初识可视化
10.2.2 图表与数据
10.3 图表详解
10.3.1 序列类图表
10.3.2 维度类图表
10.3.3 关系类图表
10.3.4 复合类图表
10.3.5 地图类图表
10.3.6 其他图表
10.4 日志可视化案例
10.4.1 MySQL性能日