数据收集成功后，您可以在查询分析页面对收集到的日志数据进行实时查询分析。

本章节将介绍如何对日志数据进行查询分析，请根据您的需要选择查询分析方式：

● 输入查询条件进行查询分析

● 使用保留字段进行查询分析

● 操作查询分析结果

1、登录管理控制台。

2、在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面后，在安全概览页面上方单击“立即体验新版控制台”，进入安全云脑管理页面。

3、在左侧导航栏选择“工作空间”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。

4、在左侧导航栏选择“威胁运营 > 安全分析”，进入安全分析页面。

5、在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。

6、在管道数据检索页面，输入查询分析语句。

查询分析语句由查询语句和分析语句构成，格式为查询语句|分析语句。

7、单击“15分钟（相对）”，设置查询时间范围后，单击“确定”。

您可以选择相对时间（15分钟、1小时、24小时），或自定义查询时间。

8、单击“查询/分析”，查看查询分析结果。

1、设置查询条件。

接入数据默认保留字段详细说明请参见保留字段。

● 单击左侧可选字段前的，并单击待筛选或待排查字段名称后的（筛选某字段值）或（排除某字段值），查询框中将按照已筛选或排查的字段进行查询。

● 如果您已展开某时间点的具体日志数据，需要筛选某些字段，可以单击该字段名称前的（筛选某字段值）或（排除某字段值），查询框中将按照已筛选或排查的字段进行查询。

2、默认查询并显示最近15分钟内数据。如果需要查询其他时间段日志数据，则需要设置查询时间，并单击“查询分析”。

安全云脑通过原始日志、日志分布直方图、图表统计形式展示查询分析结果。

● 日志分布直方图

此处将展示查询到的日志在时间上的分布情况，同时，将鼠标放在柱状图上，可查看该数据块代表的时间和日志命中次数。

● 原始日志

在“原始日志”页签将展示当前查询结果。

（1）设置显示日志数据信息：

a.页面中默认展示最近15分钟内的日志数据，如果需要展示其他时间数据，可以在右上角选择展示的时间。

b.如需查看某时间所有字段中的数据，可单击表格中对应时间前方的展开所有数据，默认展示以表格形式展示数据。

如需查看JSON格式数据，可以选择“JSON”页签，页面将展示JSON格式的数据。

c.如需在列表中展示/筛选某些字段信息，可在右侧可选字段中选择需展示的字段，并单击字段名称后的，该字段将显示在右侧日志数据列表中。

d.字段选中后，如需调整显示先后顺序，可在右侧日志数据列表的表头列单击该字段名称后的（向左移一列）、（向右移一列）按钮来进行调整。

e.字段选中后，如需取消，可在右侧日志数据列表的表头列单击该字段名称后的按钮来进行取消，或左侧在“选定字段”单击该字段名称后的按钮来取消显示。

（2）导出日志：在原始日志页签，在页面右上方单击图标，系统将自动下载当前原始日志表格到本地。

● 图表统计

查询语句查询后，在“图表统计”页签可以查看可视化的查询分析结果。

图表统计是安全云脑根据查询分析语句渲染出的结果，提供有表格、线图、柱状图、饼图等多种图表类型，详细信息请参见图表统计概述。