日志调查是飞连 EDR 体系的核心溯源中心。在排查安全事件或研判潜在威胁时，系统提供基础过滤与高级类 SQL 查询能力，帮助安全人员从海量终端行为中快速锁定关键证据、还原攻击链路，实现从发现告警到定位根因的安全闭环。本文档介绍如何使用日志调查功能进行高效检索与分析。

日志检索与分析 #

前往终端安全 ＞ 日志调查页面，管理员可以通过筛选功能对海量日志进行定位。

筛选模式

系统支持两种筛选模式，模式之间互斥生效（切换模式后，当前生效的筛选条件将以新模式为准）：

• 基础筛选：提供终端名称、日志类型、进程/文件名、路径等高频字段的模糊搜索。点击自定义筛选支持查看全部筛选项并按需勾选添加。
• 高级检索：采用类 SQL 语法的指令式查询，支持更复杂的逻辑组合。在检索框内输入字符时，系统将自动弹出代码补全下拉列表，通过键盘上下键（↑/↓）预览待选字段时，可查看该字段的数据类型及详细业务含义，辅助管理员准确构建查询语句。在高级检索框左侧，提供了快速管理查询条件的工具：
  • 收藏与管理：点击检索框内的“星形”图标可将当前输入的复杂语句保存至收藏夹；点击检索框左侧的“星形”图标可查看已收藏的查询语句。
  • 查询历史：点击“时钟”图标可快速回溯并复用近期的检索条件，无需重复编写语法。

日志列表交互

日志列表默认按“时间 → 主体 → 行为 → 描述”顺序排列，支持高度自定义的交互操作：

• 快捷联动菜单：点击列表中某条日志记录的字段值，系统将弹出快捷操作菜单：
  • 复制：一键将该字段的具体值拷贝至剪贴板。
  • 检索：使用该字段值替换当前筛选条件中对应字段的取值，并重新发起查询。
  • 添加到检索条件：将该字段值作为“且”条件加入到当前的筛选逻辑中，实现递进式过滤。
  • 从检索结果中排除：将该字段值作为“排除”条件加入筛选逻辑，用于快速剔除运营噪声或已知安全项。
• 自定义字段展示：点击列表右上角的自定义列，可自主选择显示的字段及其排列顺序。
• 查看详情：点击操作列查看详情进入原始日志页面，系统将根据日志类型动态展示相关分组（如进程类字段、文件类字段等）及该行为的全部维度信息。
• 日志导出：点击页面右上角的导出日志，系统将根据当前筛选结果及自定义列配置生成 CSV 文件。

日志联动说明 #

日志调查页面展示的是终端最底层的原始行为轨迹。为了将海量数据转化为可落地的安全运营事件，飞连会自动对采集到的底层数据进行分析，并将其分发至对应的上层安全模块中。在日常安全运营时，管理员可以结合以下模块对系统检测出的安全风险进行闭环处置：

• 基于行为的动态告警拦截：当底层日志命中特定攻击模型（如挖矿、勒索等行为链路）时，系统会自动将其聚合。管理员可以前往终端安全 ＞ 威胁告警 ＞ 威胁行为页面，对聚合后的攻击链路进行快速研判，并直接下发“结束进程”、“禁用服务”等指令以阻断风险。详情参看威胁行为分析与管理。
• 基于文件的静态告警处置：在采集终端文件操作日志时，系统会同步提取文件的 Hash 值并与云端威胁情报库比对。一旦命中恶意特征，系统会将该文件同步至终端安全 ＞ 威胁告警 ＞ 恶意文件（即“病毒查杀”列表，数据源标记为“威胁情报”），方便管理员在统一的界面下执行隔离或删除等物理文件处置操作。详情参看恶意文件监控与处置。