第1章 走近日志 001__eol__1.1 什么是日志 002__eol__1.1.1 日志的概念 002__eol__1.1.2 日志生态系统 002__eol__1.1.3 日志的作用 003__eol__1.2 日志数据 004__eol__1.2.1 日志环境与日志类型 005__eol__1.2.2 日志语法 006__eol__1.2.3 日志管理规范 009__eol__1.2.4 日志使用误区 009__eol__1.3 云日志 010__eol__1.4 日志使用场景 011__eol__1.4.1 运维监控 011__eol__1.4.2 安全审计 012__eol__1.4.3 业务分析 013__eol__1.4.4 物联网 015__eol__1.5 日志未来展望 016__eol__第2章 日志管理 017__eol__2.1 概述 018__eol__2.2 日志管理相关法律 018__eol__2.3 日志管理要求 019__eol__2.4 日志管理中存在的问题 019__eol__2.5 日志管理的好处 020__eol__2.6 日志归档 024__eol__第3章 日志管理与分析系统 025__eol__3.1 日志管理与分析系统的基本功能 026__eol__3.1.1 日志采集 026__eol__3.1.2 数据清洗 027__eol__3.1.3 日志存储 027__eol__3.1.4 日志告警 027__eol__3.1.5 日志分析 028__eol__3.1.6 日志可视化 028__eol__3.1.7 日志智能分析 028__eol__3.1.8 用户与权限管理 029__eol__3.1.9 系统管理 029__eol__3.2 日志管理与分析系统技术选型 030__eol__3.2.1 日志分析的基本工具 030__eol__3.2.2 开源+自研 032__eol__3.2.3 商业产品 032__eol__3.3 小结 035__eol__第4章 日志采集 036__eol__4.1 日志采集方式 037__eol__4.1.1 Agent采集 037__eol__4.1.2 Syslog 038__eol__4.1.3 抓包 039__eol__4.1.4 接口采集 039__eol__4.1.5 业务埋点采集 040__eol__4.1.6 Docker日志采集 040__eol__4.2 日志采集常见问题 041__eol__4.2.1 事件合并 042__eol__4.2.2 高并发日志采集 043__eol__4.2.3 深层次目录采集 043__eol__4.2.4 大量小文件日志采集 044__eol__4.2.5 其他日志采集问题 044__eol__4.3 小结 045__eol__第5章 字段解析 046__eol__5.1 字段的概念 047__eol__5.2 通用字段 048__eol__5.2.1 时间戳 048__eol__5.2.2 日志来源 048__eol__5.2.3 执行结果 049__eol__5.2.4 日志优先级 049__eol__5.3 字段抽取 049__eol__5.3.1 日志语法 050__eol__5.3.2 字段抽取方法 050__eol__5.3.3 常用日志类型的字段抽取 052__eol__5.4 schema on write与schema on read 054__eol__5.5 字段解析常见问题 055__eol__5.5.1 字段存在别名 055__eol__5.5.2 多个时间戳 055__eol__5.5.3 特殊字符 055__eol__5.5.4 封装成标准日志 056__eol__5.5.5 类型转换 056__eol__5.5.6 敏感信息替换 056__eol__5.5.7 HEX转换 057__eol__5.6 小结 057__eol__第6章 日志存储 058__eol__6.1 概述 059__eol__6.2 日志存储形式 059__eol__6.2.1 普通文本 059__eol__6.2.2 二进制文本 060__eol__6.2.3 压缩文本 063__eol__6.2.4 加密文本 064__eol__6.3 日志存储方式 064__eol__6.3.1 数据库存储 064__eol__6.3.2 分布式存储 067__eol__6.3.3 文件检索系统存储 069__eol__6.3.4 云存储 071__eol__6.4 日志物理存储 073__eol__6.5 日志留存策略 073__eol__6.5.1 空间策略维度 074__eol__6.5.2 时间策略维度 074__eol__6.5.3 起始位移策略维度 074__eol__6.6 日志搜索引擎 074__eol__6.6.1 日志搜索概述 075__eol__6.6.2 实时搜索引擎 075__eol__6.7 小结 077__eol__第7章 日志分析 078__eol__7.1 概述 079__eol__7.2 日志分析现状 079__eol__7.2.1 对日志的必要性认识不足 079__eol__7.2.2 缺乏日志分析专业人才 079__eol__7.2.3 日志体量大且分散，问题定位难 080__eol__7.2.4 数据外泄 080__eol__7.2.5 忽略日志本身的价值 080__eol__7.3 日志分析解决方案 080__eol__7.3.1 数据集中管理 080__eol__7.3.2 日志分析维度 081__eol__7.4 常用分析方法 082__eol__7.4.1 基线 082__eol__7.4.2 聚类 083__eol__7.4.3 阈值 083__eol__7.4.4 异常检测 083__eol__7.4.5 机器学习 084__eol__7.5 日志分析案例 085__eol__7.5.1 Linux系统日志分析案例 085__eol__7.5.2 运营分析案例 086__eol__7.5.3 交易监控案例 088__eol__7.5.4 VPN异常用户行为监控案例 088__eol__7.5.5 高效运维案例 089__eol__7.6 SPL简介 090__eol__7.7 小结 092__eol__第8章 日志告警 093__eol__8.1 概述 094__eol__8.2 监控设置 094__eol__8.3 告警监控分类 098__eol__8.3.1 命中数统计类型的告警监控 098__eol__8.3.2 字段统计类型的告警监控 099__eol__8.3.3 连续统计类型的告警监控 100__eol__8.3.4 基线对比类型的告警监控 100__eol__8.3.5 自定义统计类型的告警监控 101__eol__8.3.6 智能告警 102__eol__8.4 告警方式 102__eol__8.4.1 告警发送方式 102__eol__8.4.2 告警抑制和恢复 105__eol__8.4.3 告警的插件化管理 105__eol__8.5 小结 105__eol__第9章 日志可视化 106__eol__9.1 概述 107__eol__9.2 可视化分析 107__eol__9.2.1 初识可视化 107__eol__9.2.2 图表与数据 109__eol__9.3 图表详解 110__eol__9.3.1 序列类图表 110__eol__9.3.2 维度类图表 116__eol__9.3.3 关系类图表 119__eol__9.3.4 复合类图表 123__eol__9.3.5 地图类图表 125__eol__9.3.6 其他图表 127__eol__9.4 日志可视化案例 134__eol__9.4.1 MySQL性能日志可视化 134__eol__9.4.2 金融业务日志可视化 138__eol__9.5 小结 140__eol__第10章 日志平台兼容性与扩展性 142__eol__10.1 RESTful API 143__eol__10.1.1 RESTful API概述 143__eol__10.1.2 常见日志管理API类型 144__eol__10.1.3 API设计案例 145__eol__10.2 日志App 147__eol__10.2.1 日志App 概述 147__eol__10.2.2 日志App的作用和特点 147__eol__10.2.3 常见日志App类型 148__eol__10.2.4 典型日志App案例 151__eol__10.2.5 日志App的发展 155__eol__第11章 智能运维 157__eol__11.1 概述 158__eol__11.2 异常检测 159__eol__11.2.1 单指标异常检测 160__eol__11.2.2 多指标异常检测 166__eol__11.3 根因分析 167__eol__11.3.1 相关性分析 168__