近年来，安全事件频发。2018年2月链家程序员利用root权限登录财务系统服务器后删除了9TB的应用程序和财务数据，导致公司财务系统无法使用。为恢复数据及系统，链家公司前后共花费18万元。

此次事件的追责定罪，是通过计算机名、电脑MAC地址等字段把DHCP服务器的IP地址分配日志、财务系统上的删库日志和程序员电脑上的操作日志关联起来实现的，最终还原了程序员删库的完整路径。

从企业的角度来说，事件日志分散难以溯源，需要关联分析才能定位故障。而且不同部门的业务相互关联，发生异常时需要串联相关日志。为了防患于未然，企业需要提前识别异常行为，及时响应避免更大的损失。要想做好运维工作、快速还原事件，关联分析必不可少！

从真实场景看关联分析的应用需求

识别企业文档中心上的泄密行为，实现事中告警和事后溯源

XX公司使用文档中心存放办公文件，近期出现文件泄露事件，给公司造成极大的泄密风险。当文件是从受信任终端上传的，但是被非受信任终端下载了，这种行为即被判定为泄密行为。而仅凭单一属性的下载或上传日志都无法进行判断，必须把两类日志关联起来。

通过 AnyRobot 的关联搜索功能，从非受信任的终端下载日志中过滤出“操作对象”，再根据“操作对象”过滤上传日志，过滤出是通过受信任的终端上传该文件的“操作对象”，从而识别出是哪个“操作对象”做的泄密行为。

为了管理员更早发现异常，降低泄密风险， AnyRobot将关联分析过程保存为告警条件，出现异常实时触发告警，并以邮件、短信或微信的形式通知管理员。

关联虚拟桌面和数据库操作日志，溯源高危数据库操作行为

XX 央企的 Oracle 数据库的数据遭到恶意删除。正常情况下需要系统管理员权限登录Oracle 数据库后进行操作。黑客拿到管理员账号后，通过虚拟桌面远程连接到数据库后恶意删除数据。此时仅凭 Oracle 操作日志无法找到删库用户，需要到虚拟桌面的日志中查找黑客账户的登录记录。

通过 AnyRobot 的关联搜索功能，经共有字段“oracle 用户名”关联 Oracle 审计日志和 Oracle 连接日志，找到客户端IP。再通过共有字段“客户端IP” 关联oracle 连接日志和虚拟桌面日志，找到虚拟桌面用户，即恶意删库者。

关联系统的应用日志和数据库中的用户操作日志，分析事件根本原因

XX 电网使用无纸化办公系统，当用户使用系统出现故障时，管理员需要检索用户的操作日志。但 OA 系统中只有应用日志，详细的用户操作记录在数据库中，仅凭应用日志无法定位事件发生的原因。

通过 AnyRobot 的关联搜索功能，经共有字段“用户 ID”可以关联应用日志和 MongoDB 数据库的数据，逐个排查可疑用户的操作行为，找到导致系统故障的根本原因。

串联银行交易相关日志，还原全部业务流程，找到交易异常原因

XX 银行客户反映手机银行查询的交易明细和存折的记录不一致。系统管理员需要找到出错的系统数据表并予以修正。系统数据表在核心系统数据库内，仅凭网银 perweb 日志无法找到出错的数据表。

银行交易从网银经过服务总线和业务处理单元后到核心系统数据库。通过 AnyRobot 的关联搜索功能，经共有字段 “CONSUMER_SEQ_NO”关联网银 perweb 日志和 ESB in/out 日志，找到交易信息和转发信息。再通过共有字段 ”hostdate、hostseq“ 关联 ESB in/out 日志和核心系统数据库的数据，找到出错的数据表。

由浅入深开始使用关联分析

关联分析通过关联搜索把分散在多个设备、系统上的数据串联起来，解决单一属性/来源的日志无法识别异常行为、无法还原事件流程、无法定位系统故障的问题。