近日，日志易入选了Gartner®发布的《中国智能IT监控与日志分析工具市场指南》（Market Guide for Intelligent IT Monitoring and Log Analysis Tools in China）。

Gartner®指出：中国的智能IT监控与日志分析工具涵盖多样化的产品组合，旨在利用AI增强IT运维能力，更好地满足不断变化的业务需求，并建议企业采取渐进式路径（智能监控→事件智能→可观测性），强调兼容性和成熟度匹配。

日志易可观测性监控平台——观察易

观察易的核心优势体现为智能化、全景化与企业级三大维度的深度融合。平台通过全新智能体中心提供流式对话、多轮问答与透明可视的根因分析（RCA）能力，结合中英文自适应的AI洞察，大幅降低运维排查门槛；同时以横向/纵向多视角拓扑、丰富的实体类型与关联分析能力，实现从基础设施到应用性能的全景观测，并支持灵活的视图定制与深度钻取。

在架构层面，观察易具备全流程多租户隔离与License分级管理，兼顾数据安全与不同规模团队的精准需求，配合完整的英文界面与出海适配，为企业提供可平滑升级、稳定可靠的国际化智能运维平台，助力团队更早发现问题、更快定位根因、更稳保障系统。

作为日志易旗下可观测性平台，观察易的产品架构与Gartner®倡导的演进逻辑高度契合：

观察易以模块化能力、全景化观测、企业级稳定，助力团队更早发现问题、更快定位根因、更稳保障系统，将IT性能与业务成果有效挂钩。

每年五一、国庆，都是出行高峰——机票预订量激增、系统高负载、团队连轴转。

但你注意到了么：黑产也在同步“加班”。

之后，某航空公司技术团队突然接到告警：客服投诉量异常飙升。客户反馈接到“航班取消补偿”诈骗电话，对方精准报出航班时间、票号、手机号。

排查指令很快下达：根据票号，查出票日到投诉日之间，所有行程相关的接口调用情况。

但问题接踵而至——日志量巨大、接口繁多且不固定等。传统方式需要先把相关时间范围的日志集中到一台主机，再通过手工或脚本逐步查找，最快也要半天时间。

技术团队应用日志易，5分钟完成全链路排查，锁定真凶——某第三方渠道利用非工作时段，对订票接口进行“少量多次”的数据爬取。

01

为什么黄金周成为数据泄露高危期？

1. 流量洪峰掩盖异常行为

• 正常查询量激增10倍，黑产的“少量多次”策略更易隐匿
• 凌晨2点的异常访问，被淹没在白天的海量日志中

2. 多系统协同放大攻击面

• 自营渠道、OTA、GDS、代理人系统……数据流转节点激增
• 任一接口失守，全链路客户信息暴露

3. 响应时效要求极高

• 一条投诉微博，能在登机口排队时炸开
• 监管关注、媒体跟进，“查不清”本身就是二次品牌伤害

传统排查方式依赖人工+脚本，效率低下、费时费力，无法满足旺季实时响应需求。

02

日志易三步构建高效排查能力

日志易基于统一日志平台，通过标准化接入、智能解析、可视化查询，为航空公司打造分钟级响应的数据安全排查体系：

1. 统一接入：全量日志归集

将电子商务系统相关的应用日志全部接入统一日志平台，打破数据孤岛。无论是订票系统、支付网关还是渠道接口，所有调用记录集中管理，为后续分析奠定数据基础。

2. 字段清洗：结构化解析关键信息

根据接口调用的请求和返回关键字，智能清洗出关键字段：

• 接口调用全局ID、Session ID——追踪单次请求全链路
• 接口名称——识别具体业务操作
• 接口请求参数、返回Body——提取票号等关键信息

通过正则解析、字段提取等能力，将非结构化日志转化为可查询的结构化数据。

3. 自动化查询看板：一键定位异常

通过SPL语句将排查逻辑和流程固化，构建自动化查询看板：

• 输入票号等关键信息
• 自动关联时间范围、Session ID、接口调用记录
• 可视化展示：谁访问、何时访问、返回了什么数据
• 支持钻取分析，快速识别异常接口或陌生来源渠道

从“半天甚至几天”缩短到“几分钟”，排查效率提升数十倍。

03

AI赋能：让排查更智能

04

核心价值

• 效率跃升：排查时间从半天/几天 → 几分钟，旺季投诉响应不再捉襟见肘
• 人力释放：工程师从重复性日志打捞中解放，专注核心安全策略
• 合规保障：全链路操作留痕，满足审计与监管要求
• 品牌守护：快速定责、及时处置，减少客户投诉与舆论风险

日志易收到朝阳区委及区政府的感谢信。信中对日志易的创新实践与实干贡献予以肯定，并向公司全体员工致以节日问候。

过去一年，日志易在AI赋能的安全运营、可观测性等领域持续深耕，同时扎根港澳、加速布局海外，业务拓展至多个国家和地区。这份成绩的取得，离不开区域营商环境的滋养，也离不开各方伙伴的支持。

新的一年，我们将继续以技术创新为驱动，服务全球客户，在更广阔的舞台践行"让数据创造价值"的初心。

感谢认可，砥砺前行。

新春顺遂，共赴新程。

云原生和微服务时代，构建和运维可靠、高性能的应用系统，已远非“写好代码”这么简单。在分布式系统中，一次请求可能横跨数十个服务、涉及多个团队和技术栈；微小的延迟或异常，都可能像多米诺骨牌般引发连锁故障。如果没有全面、实时的“眼睛”去看清系统内部状态，定位问题往往靠猜、靠经验主义，效率低下、成本高昂。

可观测性正是解决这个痛点的关键实践。

可观测性让你从外部数据“反推”系统内部状态。其核心价值体现在：

• 快速故障定位：传统监控只能告诉你“坏了”，可观测性能告诉你“为什么坏了、在哪坏了、影响了谁”。
• 提升开发效率：减少“排查时间”，从几天到几分钟，团队能够把精力放在业务创新而不是救火。
• 优化资源与成本：精准发现瓶颈，避免盲目加机器；理解真实负载，合理采样和降本。
• 支持业务决策：链路+指标+日志关联，能看到“这个功能慢了，用户流失率涨了多少”类似的闭环洞察。

要实现真正的可观测性，插桩（Instrumentation）是第一步，它决定了你能采集到什么样的遥测数据（Telemetry）。插桩主要分为以下几类：

• 手动插桩（Manual Instrumentation），开发者通过日志改造或者用OTel API/ SDK在代码里主动创建Span、加Attribute、记Metric/Log，侵入性最高，但最精准、最可控，适合业务关键路径、自定义指标、框架未覆盖的场景。
• 自动插桩（Automatic / Zero-code Instrumentation），不改业务代码，通过运行时机制自动生成遥测。自动插桩又分以下几种：

字节码注入（Bytecode Instrumentation）：Java、.NET主流。启动挂Agent（如Java Agent），JVM/CLR加载类时动态改写字节码，在方法前后插入Span创建/传播/结束逻辑（用ByteBuddy等工具）

猴子补丁（Monkey Patching）：Python、Node.js常用。运行时动态替换/包裹库函数（如Requests、Flask视图），在调用前后加观测钩子

模块加载钩子/Require Hook：Node.js特色，拦截模块加载时装饰函数

eBPF插桩：内核级探针或编译时修改，几乎零开销，但生态还在成熟

编译期插桩：Go等静态编译语言，在构建过程中通过抽象语法树（AST）操作转换源代码

语言运行时API：PHP 8.0引入的Observer API，在Zend引擎级别Hook到PHP引擎的执行流程

• 混合插桩：自动插桩覆盖基础设施，手动补业务细节 + 关键上下文。

刚开始，很多用户会选择自动插桩的方式，且上完之后没有进行迭代优化运营，容易产生很多问题。如果这些问题没有处理好，会导致信噪比下降、存储成本暴涨、查询性能变差等，而真正有价值的错误链路和业务洞察反而被淹没。

在《How to Reduce Telemetry Volume by 40% Smartly(Java)》一文中，以最常见Java Agent自动插桩为例，列举了最常见的一些问题：

1. URL路径和Target属性，HTTP客户端和服务器的自动插桩常常捕获完整的http.url或http.target属性。例如，如果你的RESTful接口路径带唯一ID（如/api/products/12345），每个不同的ID都会生成一个全新的属性值……这会导致无法有效聚合（比如无法把它们归到模板化的/api/products/:id路由下），最终产生数百万个无用数据点，也就是浪费的遥测数据。所以需要始终优先使用模板化的http.route，而不是原始路径。
2. 冗余Controller Spans在Spring MVC等框架中，自动插桩默认会为单个Web请求创建多个Spans（Server Span、Controller Span、View Span）。但在现代微服务中，Controller往往很薄（Thin），只是简单转发到Service或数据库。这种情况下，单独的Controller Span（比如显示耗时2ms）几乎没有额外价值，属于明显的冗余Spans。
3. 运行时遥测中的thread.name Java运行时指标（如jvm.network.io或jvm.memory.allocation）中默认带上thread.name属性。在使用大线程池或虚拟线程的环境下，这会造成无限数量的唯一时间序列，直接引发基数爆炸。
4. 重复的库插桩Java Agent会同时看到多个层（如Upper SDK→Apache HttpClient→Java Networking），为同一个逻辑操作创建多个嵌套Spans。这会导致outbound调用每次都翻倍甚至三倍的遥测量。
5. 资源属性，Kubernetes和主机指标的自动检测默认捕获动态唯一标识，如container.id、k8s.pod.uid或process.pid。每次Pod重启或容器重启，这些值都会变，瞬间制造出数千个死时间序列，干扰聚合、增加存储成本、显著拖慢长期趋势查询。
6. JDBC和Kafka内部信号，某些模块天生就很“话痨”（Chatty），为内部机制生成高频Spans，但诊断价值很低。例如jdbc-datasource模块每次从连接池取连接（getConnection()）就创建一个Span，导致成千上万条“只是确认连接池正常”的记录；Kafka也会为后台心跳和元数据检查产生过多Spans。这些都属于纯噪声。
7. 调度器和周期性任务，使用Spring Scheduling或Quartz的后台任务，如果每秒轮询一次数据库或缓存，但99%的时间都没什么有趣的事发生，却为每一次执行都生成Span。一天就能产生86400个成功的但毫无意义的Spans，这在大多数场景下就是遥测浪费。
8. SDK不对齐，某些框架（如Trino）会自己初始化独立的OpenTelemetry SDK，而不是加入Java Agent提供的全局实例。这会导致同一个JVM内运行两条并行的遥测管道，内存和网络开销翻倍，而且Spans缺少属性导致在标准查询中“隐形”，变成另一种遥测过剩。

日志易可观测性监控平台——观察易，通过端侧预防+数据遥测管道+后端自动检测等多种方式确保数据是高质量的，是真正有价值的。

1.端侧：提供启动参数主动关闭/抑制低价值部分，避免数据一开始就泛滥。

2.遥测管道修剪：提供图形化的管道处理方式，可以灵活的进行管道修剪，比如去掉动态属性如container.id、k8s.pod.uid、process.pid；Drop所有名为Poll、Heartbeat、GetConnection的Spans，后采样配置限制大量Span的Trace等。

3.后端自动检测：自动检测可观测数据质量，包括高基、属性缺失等。

上面只是简单列举了一些常见的问题，实际根据用户的业务、场景和技术栈的不同，会有很多不同的问题，要真正做好可观测性，需要承建方、使用方和Vendor方不断对齐，进行持续的治理和协作。观察易基于三大核心能力——自研高性能搜索引擎Beaver、低代码SPL语言、图形化数据处理平台——实现高效数据接入与高质量可观测数据构建，形成覆盖业务→服务→接口→基础架构的全景观测体系。

• 智能交互+AI能力：通过AI驱动的异常检测、根因分析和智能告警，帮你从海量噪声中快速挖出真信号。
• 全景视图：拓扑图、历史回溯、指标趋势一屏尽览，业务链路追踪+日志串联分析，故障定位从分钟级到秒级。
• 降本增效：内置多种处理器和采样策略，支持端到端遥测优化，实测可大幅降低存储和计算成本。
• 企业级适配：信创兼容、多云/多环境支持，已服务金融、政务、运营商等大型机构，安全合规无忧。

在网络安全领域备受瞩目的嘶吼2025网络安全“金帽子”年度评选活动中，日志易（北京优特捷信息技术有限公司）凭借卓越的实力与广泛的认可，从众多优秀企业中脱颖而出，荣获“年度杰出安全服务商”这一殊荣！

此次评选活动汇聚了上百家安全厂商的积极参与，共收录185项评选奖项，吸引了60000+张有效投票。评选涵盖七大奖项，旨在表彰那些在网络安全领域真正提升安全水位、推动产业进步的产品、技术、方案与企业团队。日志易能够在激烈的竞争中斩获“年度杰出安全服务商”奖项，是对我们在网络安全服务领域不懈努力与卓越成就的最好证明。

日志易自成立以来，始终致力于为客户提供高效、可靠、专业的网络安全服务。我们深知网络安全对于数字经济发展的关键支撑作用，因此在数据安全治理、AI创新落地、基础设施防护等重点方向上持续投入与创新。通过不断优化服务流程、提升技术水平、加强团队建设，我们构建了一套全方位、多层次的网络安全服务体系，为众多客户提供了定制化的网络安全解决方案，有效保障了客户的网络安全与数据安全。

此次荣获“年度杰出安全服务商”奖项，不仅是对日志易过往成绩的肯定，更是对我们未来发展的激励。我们将以此为契机，继续秉承“客户至上、技术创新、服务卓越”的理念，不断提升自身的专业能力与服务水平。在未来的发展中，日志易将进一步加强与各方的合作与交流，积极参与网络安全行业的各项活动，共同推动网络安全产业的发展与进步。

再次感谢嘶吼2025网络安全“金帽子”年度评选活动给予我们的这份荣誉，也感谢所有客户、合作伙伴以及社会各界对日志易的信任与支持。我们将不忘初心，砥砺前行，为网络安全事业贡献更多的力量，为数字经济的健康发展保驾护航！

在半导体产业高速发展的背景下，晶圆厂、封测厂正经历着从传统人工运维向智能化运维的深刻变革。机台设备作为芯片生产的核心载体，其稳定运行直接决定着企业的产能输出与产品良率——机台的健康状态就是产线的生命线。

然而，传统运维模式以人工巡检、被动响应为主要特征，已难以适配半导体生产的高精密、高时效要求。如何实现从“被动抢修"到"主动预判”的运维模式转型，成为半导体企业智能化升级的关键命题，智能化生产已成为提升竞争力的必然选择。

一、半导体行业机台监控面临的四大核心痛点

1. 数据分散难整合

晶圆厂内设备分布广泛、涉及多厂商（如AMAT、LAM、TEL、KLA等）、类型繁多（刻蚀、沉积、量测、检测等），导致日志格式五花八门，形成一个个"数据孤岛"。想要将不同协议数据打通并进行关联分析，技术难度和实施成本都很高。

2. 故障预警滞后

传统模式多为故障发生后才被发现，非计划停机频繁出现。半导体产线停机损失以分钟计，单次停机可能导致整批晶圆报废，事后响应的模式让企业处于极度被动地位。

3. 运维依赖人工

过度依赖资深工程师的个人经验判断，不仅效率低下、人力成本高昂，更难以实现经验的标准化沉淀和规模化复制。关键人员流动带来的知识流失风险巨大。

4. 问题定位复杂

缺乏统一的监控视角，遇到设备故障时溯源排查耗时漫长，难以快速找到根本原因，导致故障处理周期拉长，影响整体设备效率。

这些痛点让半导体企业的智能化转型举步维艰，亟需一套统一、智能、主动的机台监控解决方案。

二、日志易核心能力：精准匹配半导体监控需求

日志易针对半导体机台监控场景，提供四大核心能力支撑：

1. 多源日志采集

支持多样化的采集协议和方式，包括文件目录采集、Kafka对接、Syslog对接以及脚本采集等，兼容多种半导体行业标准协议，实现各类机台日志的集中采集与统一汇聚，从源头打破数据孤岛。无需改造现有设备，即可完成对接，保障产线稳定运行。

2. 实时分析处理

依托自主研发的高性能搜索引擎Beaver，支持海量机台日志数据的高效解析，精准捕捉设备运行异常信号，助力设备工程师和制程整合工程师实现快速响应与处置。

3. 灵活告警配置

支持自定义运行监控指标阈值与异常行为规则，实现精准化、多级化的智能告警。告警通知支持邮件、短信等多种方式，确保工程师及时接收异常提醒，不错过最佳处置时机。

4. 可视化展示

提供自定义监控看板能力，直观呈现机台运行状态、历史故障数据，满足不同场景下的监控需求，助力管理层快速决策。

三、四步闭环落地方案：从采集到溯源的完整运维体系

基于上述核心能力，日志易打造了“采集-配置-展示-溯源”四步闭环方案，实现机台监控的全流程覆盖：

第一步：日志采集（数据采集层）

通过多元数据统一接入，从源头打破数据孤岛。支持对接EAP（设备自动化系统）数据、机台本地日志、Sensor数据等，这是整个监控体系的基础。

第二步：规则配置（规则引擎层）

根据半导体实际生产场景，设定专属的指标阈值（如Chamber温度、Pressure、RF Power等）和异常行为分析规则，让监控策略更贴合晶圆产线实际需求。

第三步：可视化展示（可视化层）

搭建专属的监控看板，实时呈现机台运行的关键指标。既支持全厂机台的核心信息总览，也支持单台设备的全维度信息拆解，让设备状态一目了然。

第四步：故障溯源（分析应用层）

结合实时分析数据和历史运行记录，帮助工程师快速定位问题根源，缩短故障排查时间，形成完整的运维闭环。

四、真实案例：某芯片光罩厂故障提前预警实践

案例背景

在某先进制程芯片光罩厂的实际项目中，日志易机台监控方案成功实现了光罩写入机故障的提前预警，避免了非计划停机带来的产能损失。光罩作为晶圆制造的"母版"，其生产设备的稳定性直接决定晶圆厂投片节奏。

实践过程

1. 监控告警触发：设备工程师收到平台监控告警，提示某台电子束写入机存在异常
2. 状态查看确认：登录平台查看，发现该Writer中某片光罩状态异常
3. 数据关联分析：结合机台监控数据和异常日志，利用系统提供的分析视角进行排查
4. 快速定位处理：迅速找到问题原因并及时处理，避免了一次非计划停机，保障了光罩交付周期

核心价值体现

• 监控告警维度：故障早发现，降低业务影响；提升排查效率，缩短故障处理时长；实现主动运维，减少被动救火情况。实践表明，方案可将故障发现时间从传统的分钟级缩短至秒级，非计划停机次数平均减少70%以上。
• 机台监控维度：实时掌握设备运行状态，规避突发停机风险；精准定位故障点，提升设备工程师处置效率；支撑预防性维护，降低长期运维成本。实际部署数据显示，机台综合效率可提升5-10个百分点，达到行业优秀产线水平。
• 异常日志维度：快速定位故障根源，缩短排查周期；挖掘隐性关联问题，提升问题分析深度；支撑故障复盘与优化，持续沉淀设备运维经验。工程师故障根因定位时间从平均数小时压缩至30分钟内，新人独立上岗培养周期缩短三分之二。

关键成果指标

故障预警提前率显著提升；非计划停机次数大幅降低；监控响应速度实现实时化

近日，中国电子工业标准化技术协会信息技术应用创新工作委员会（以下简称"信创工委会"）授予日志易（北京优特捷信息技术有限公司）“2025年度卓越贡献成员单位”荣誉称号。

日志易自2020年加入信创工委会以来，持续深度参与产业生态建设。自2021年起，日志易连续两届当选信创工委会WG24大数据组组长，承担起大数据领域技术标准制定、产业研究及生态协同的重要职责。

近年来，日志易秉持创新理念，坚持务实高效、精益求精的工作作风，与信创工委会协同联动，共同在多项工作中取得实质性突破，有效推动信息技术应用创新成果转化，为促进信息技术应用创新产业高质量发展贡献己力。

作为工信部认证的第三批专精特新"小巨人"企业、瞪羚企业，日志易始终坚持核心技术自主研发。公司自研的Beaver搜索引擎是国内首个PB级高可用日志搜索引擎，并首批通过了中国信通院搜索型数据库产品评测。

在信创适配方面，日志易已完成与华为鲲鹏、飞腾、海光、兆芯等国产CPU，以及麒麟、统信、中科方德等国产操作系统的全面兼容认证，支持人大金仓、达梦等国产数据库，实现从底层硬件到上层应用的全栈国产化适配。目前，日志易已服务金融、能源、运营商等近千家头部客户，落地数十个信创标杆项目，日均处理日志数据量达PB级，以自主可控的技术能力助力关键行业数字化转型。

如信中所说，2025年是实现"十四五"规划目标任务的收官之年，也是信息技术应用创新工作全面深化和落地攻坚的关键阶段。日志易将以此为契机，继续鼎力支持信创工委会发展，充分发挥WG24大数据组组长单位的引领作用，在标准制定、技术攻关、生态共建等方面持续发力，与产学研用各方共同推动我国信息技术应用创新产业发展迈向新高度，以实干实绩为科技自立自强注入强劲动能。

随着企业数字化转型的深入，日志管理与分析日益成为业务决策与系统稳定的核心支撑。为应对不断增长的运维复杂度与安全合规要求，日志易正式推出5.5版本，围绕 “可视化运维”、“安全”、“使用体验” 三大方向，系统性地提升产品的可管理性、可靠性与易用性，进一步加固平台安全。

Proxy可视化管理提升运维排查能力

为应对Proxy节点线性增长带来的运维挑战，我们需构建可视化集中管理能力，以提升效率与系统可控性。

• Proxy包管理页面，集中展示最新可安装的Proxy版本，便于升级管理。
• 通过Proxy区域管理页面，以地理或逻辑区域为维度，对Proxy进行归属关联与分组管理。
• 在安装环节，提供固化信息一键生成安装命令，实现快速部署与配置。
• 同时建立可视化状态监控，可直观呈现各Proxy运行状态，帮助团队及时发现并处理异常，保障服务稳定。
• 一键生成跨区域Agent安装命令，通过获取所在区域内所有在线Proxy节点的信息生成Agent安装命令。

仪表盘优化提升用户使用体验

• 修复“动态字段”输入项的时间范围选择受限问题，现已支持选取全局时间区间，提升查询灵活性。
• 趋势图新增底部图例展示，并增加“全部”选项，便于一目了然地对比整体数据趋势。

(展示全部图例效果)

安全相关优化满足客户安全需求

• 登录支持FreeOTP双因子验证：在密码之外新增基于时间的一次性动态口令，为您提供更强大的账户保护。

• 内置银行卡号脱敏规则：系统将对卡号进行统一格式化处理，展示效果为“前6位 + ****** + 后4位”，确保敏感信息展示合规。
• 新增搜索任务超时全局控制：支持根据具体项目需求自定义设置超时时间，并可灵活配置超时后的处理策略，从而有效保障查询性能的持续稳定性。

其他易用性优化提高使用效率

• 指标字段的搜索体验：针对类型为metric_query、前缀为metric_且值为纯数字的字段，现已移除其“添加到搜索”功能。此优化旨在避免非必要操作，使界面逻辑更符合特定字段的查询设计规范，提升用户使用效率。
• 扩展本地上传格式，新增JSON文件支持，单文件最大可上传5MB，便于灵活导入数据。
• 集成Otel-collector至Heka进程，支持指标数据的标准化采集与汇聚。
• 扩展SPLserver数据源兼容性，新增对接OceanBase的Oracle租户能力，拓宽企业级数据库支持范围。

观察易持续迭代，聚焦智能体、全景观测与企业级需求，带来一系列重磅功能升级。本次整合发布围绕智能交互、全景可观测、应用性能深度分析、企业级适配四大方向，全面提升平台的智能化、全景化与专业化能力。

一、智能交互与AI能力全面增强

智能体中心全新上线

• 全新交互界面：采用卡片式布局，集成RCA（根因分析）智能体，提供更专业的根因定位辅助。
• 流畅对话体验：支持流式输出与多轮问答，对话历史可轻松管理（重命名、删除、恢复、批量操作）。
• 过程透明可视：可展示回答时间、所用模型，并支持RCA步骤与工具调用结果的展示，分析过程一目了然。
• 灵活模型配置：支持在智能体中心和对话页面进行模型的增删改查与验证，并可随时切换。

AI洞察持续优化

• 国际化支持：中英文环境自适应，使用相应语言的提示词，输出匹配用户语言的内容。
• 展示效果提升：优化Markdown渲染，如表格等内容的展示更清晰美观。

二、全景可观测性拓展

全景图能力飞跃

• 智能定位与筛选：支持快速高亮并定位节点，可通过关系属性筛选拓扑，聚焦关键路径。
• 多视角观测：新增“横向”（聚焦单层调用）与“纵向”（纵览层级间调用）视图模式，支持自由编辑观测层级与拓扑查询。
• 交互体验优化：节点详情页宽度可拖拽，鼠标悬停时可高亮相关联的节点与连线。

实体管理更丰富

• 类型扩充：新增数据库、消息队列、远端服务、后台任务等实体类型，覆盖更广泛的观测对象。
• 拓扑可视化：实体间调用关系以丰富的拓扑图样式呈现，支持查看横向调用拓扑。
• 配置精细化：实体类型与关系配置页面支持按数据源、实体类型等多维度筛选，展示名称支持空格，配置更灵活。
• 监控创建优化：创建监控规则时支持直接选择实体类型。

三、应用性能深度分析与视图定制

应用性能分析增强

• 关联分析增强：链路拓扑的节点详情支持查看相关告警事件，便于进行关联分析。
• 错误请求分析：新增“错误字段分析”功能，快速定位错误率最高的接口、实例或自定义维度。

• 慢请求分析：新增“慢请求字段分析”功能，在设定阈值后，快速分析慢请求的共性维度特征。
• 全面钻取支持：系统、服务、业务、接口等列表页均支持钻取至详情，分析动线更流畅。

视图与钻取能力升级

• 视图类型拓展：支持拓扑类型视图，内置视图增加业务、系统、服务等多维度指标分析视图，并可分组管理拖拽顺序。
• 钻取方式灵活：下钻支持在新页面、当前页或侧边栏打开，并可引用外部平台URL。
• 管理体验优化：用户视图与内置视图的左侧栏支持展开/收起，钻取组件顺序可拖动调整。

四、企业级架构与体验优化

多租户架构支持

• 全流程租户隔离：从数据采集、处理、存储到查询，全面支持多租户架构，保障数据安全与隔离。
• 平滑升级方案：低版本组件兼容单租户模式，支持无缝升级至多租户架构。

许可（License）分级管理

• 精细化权限控制：推出基础版、标准版、专业版，对应不同功能组合，满足不同规模与预算团队的精准需求。

国际化出海适配

• 全界面英文支持：为出海业务提供完整的英文界面，配套英文安装包，满足全球化团队使用。

五、其他重要优化与体验提升

除上述核心模块外，本次升级还包含大量细节优化，全面提升系统稳定性和用户体验：

• 界面与交互优化：

时间组件统一使用24小时制显示。

告警左侧导航支持展开/收起，列表支持列定制与URL参数解析。

进程搜索框类型优化，通用配置展示去除空白。

网络监控相关名词优化为“观测端”、“对端”。

• 配置与逻辑优化：

条件组件验证信息提示方式优化，由弹框改为表单内直接展示。

字段过滤条件“包含”改为中文，并增加“不包含”选项。

疑似问题合并逻辑与说明文字优化，合并窗口时间可配置。

资产视图关系筛选结果展示真实的实体名称而非ID。

• 管道与数据处理：

Trace管道配置优化，提升对乱序数据的处理能力，统一指标数据源。

Event管道增加分流selector，Profiling管道支持SSL配置。

后台任务相关指标计算与命名优化。

总 结

观察易本次系列升级，标志着平台从“功能完备”向“体验智能、观测全景、架构企业级”的深刻演进。我们不仅提供了更强大的智能交互工具（智能体中心）和更全景的可观测视图，更在底层架构上支持了多租户与国际化，以满足不同规模与地域企业的复杂需求。

智能化运维、全景化观测、企业级稳定——观察易持续助力您的团队更早发现问题、更快定位根因、更稳保障系统。

Gartner has just released the Hype Cycle for Cybersecurity in China, 2025,  and once again lists LogEase as a Sample Vendor in the SIEM category. This marks the company’s second consecutive appearance, having first been recognized in the Hype Cycle for Security in China, 2024.

The report notes:

“Aggregating and standardizing security data to centralize and visualize an organization’s security situation is a core element of effective security programs. SIEM can support security operations centers (SOCs) in identifying, prioritizing and investigating security incidents. Broad-based visibility is the basis for SOCs to make decisions in daily security operations.”

LogEase has built China’s great petabyte-scale, highly-available log search engine, Beaver. Coupled with its low-code Search Processing Language (SPL), the platform ingests and analyzes multiple petabytes of new log data daily. It is already deployed by nearly 1,000 leading organizations across finance, energy, telecommunications, and other verticals, empowering them to unlock the value of machine data and elevate digital operations.

Powered by the Beaver engine and a unified stream/batch processing framework, LogEase delivers a security portfolio built around SIEM, UEBA, and SOAR—its “three-horse carriage”:

• SIEM correlates multi-source telemetry (logs, flows, assets, vulnerabilities, and threat intelligence) and supports scenario-based threat modeling across six domains—perimeter, internal network, cloud, endpoint, infrastructure, and identity—achieving second-level detection and minute-level root-cause analysis.

• UEBA embeds dozens of machine-learning algorithms to baseline user and entity behavior in real time, accurately surfacing insider threats, lateral movement, and data-exfiltration risks.

• SOAR uses visual playbooks and API-level orchestration to automate the entire alert-to-post-mortem workflow, reducing mean response time from hours to minutes.

LogEase has now infused large-model capabilities throughout the security-operations lifecycle:

• An Alert-Triage Agent leverages the MITRE ATT&CK framework to auto-enrich context, dramatically cutting false positives.

• An Attack Path Agent employs the ReAct framework to reconstruct complete attack chains within minutes.

• A Copilot turns natural-language questions into SPL queries, making security analysis as simple as a conversation.

• AI-Driven Dynamic SOAR Playbooks enable one-click, cross-product remediation, ensuring every response is “expert-level.”

Together with our customers, LogEase continues to reinforce dynamic defense, making security operations simpler, smarter, and more trustworthy—accelerating the journey toward an AISOC.

2016年3月，由國內多家從事專業軟硬體關鍵技術研究、應用和服務的單位發起建立了一個非營利性社會組織，命名為“資訊技術創新工作委員會”，其核心目標是為了實現資訊技術產業的完全自主可控，解決關鍵技術“卡脖子”問題，簡稱“信創”。 信創目標提出后，很快提升至國家安全戰略層面，國資委79號文全面指導企業信創發展和進度，2027年100%完成替換。

信創建設現狀

本文以信創產業領域「2+ 8+ N」中建設領先的金融行業為例，自2020年開始在金融行業試點推廣信創以來，取得了一定的成果，如辦公類管理系統、一般業務系統、關鍵業務系統和終端機都有涉及信創全棧環境應用。 隨著信創工作進一步推進，金融行業信創建設面臨如下問題。

1.試錯成本大：

金融行業核心系統長期以來高度依賴國外產品，系統耦合性高，全部替換需要投入更大的人力和物力，其成本較高且對於業務連續性保障存在一定的挑戰與風險。

2.技術選型風險：

信創生態剛剛起步，產品在發展過程中必定存在優勝劣汰，金融機構在進行技術選型時將面臨一定的困難。

3.穩定性風險：

目前信創產品仍需要在市場上進行不斷的打磨與完善，以信創資料庫為例，資料庫研發技術門檻較高，研發週期長且金融機構對於資料庫要求較高，作為核心元件一旦出現故障會導致整條業務鏈癱瘓。

4.運維風險：

信創產品百花齊放，企業缺乏對於國產軟體的專業運維人員和經驗。

5.相容性風險：

企業建設信創項目過程中會涉及多個廠家，技術和能力等參差不齊，產品之間需要進行功能、性能以及安全性驗證，導致產品存在相容性風險。缺少整體解決方案：企業初次建設信創專案，較為缺乏信創專案建設解決方案和同行業實踐借鑒。

6. 缺少整體解決方案：

企業初次建設信創專案，較為缺乏信創專案建設解決方案和同行業實踐借鑒。

日誌易信創建設思考

1.高層戰略意識：

企業領導需要清晰認識到信創是國家安全戰略趨勢，是必然的，不可避免的，企業需要成立虛擬信創工作組，各司其職。 技術人員也需要改變對國外資訊技術產品的過度依賴，對國產產品進行充分調研驗證，並選擇口碑良好、同業案例豐富的替代產品。

2.運維監控先行：

運維是企業業務連續性保障的最後一道防線，無論企業是信創新建還是信創替換，都建議優先建立運維保障的“護城河”。 運維先行的重點好處有兩點，其一在信創專案建設過程中，難免會有軟硬體突發情況，可能導致業務連續性中斷，為此優先選擇穩定的、成熟可靠的監控體系保障整個信創專案順利建設是非常必要的; 其二在建設監控系統過程中，基本對企業核心交易不會產生影響和風險。

3.技術選型：

企業在進行技術選型時，需要在產品的先進性、穩定性、成熟性、可靠性和安全性基礎上，結合自身特點，以積極穩妥、風險可控的原則進行逐步推進。

4.長期規劃：

企業在進行信創專案建設過程中，需要充分認識到信創工作並非一蹴而就的，需要根據企業特點和信創技術發展情況，定製長期建設規劃，明確階段里程碑目標，從簡單到複雜，逐步實現信創替換從邊緣到核心的推進。

5.生態共建：

與信創生態企業深入合作交流，共用或共同研究信創前沿發展趨勢與實踐成果，加速信創成果在本行業的落地應用。

日誌易信創建設優勢

1.信創工委會WG24大數據組組長單位

自2020年起，日誌易在信創工委會WG24大數據組擔任職務，並在2023年榮獲組長單位稱號，曾參與編撰信創大數據白皮書。 憑藉在信創領域多年的實踐經驗，日誌易已經協助多家關鍵行業的大型機構成功實施信創平台建設。

2.工信部認定的第三批專精特新小巨人企業

日誌易2014年成立，2021年獲工信部認定為專精特新小巨人企業，擁有發明專利49項、外觀專利29項，自研搜索型資料庫Beaver已經應用至上千家大型企業。 目前，日誌易客戶遍布全國100多個城市及新加坡、伊拉克、荷蘭、馬來西亞等多個海外地區。

3.信創日誌分析平臺

日誌易已經通過《資訊技術應用創新日誌分析平臺》產品要求測試認證。 自2019年開始，日誌易逐步落地信創專案40個以上，涉及銀行、證券、基金、期貨、電網、運營商、政府、航空、能源等關鍵行業，其中替換國外產品案例達35個（包含非信創）。

4.日誌易信創生態建設

日誌易積極開展與信創產品的相容性認證測試，已經獲得的官方相容性互認證包含

CPU：華為、飛騰、海光、兆芯

中間件：寶蘭德、東方通

資料庫：達夢、GoldenDB、優炫資料庫

操作系統：麒麟、統信UOS

與此同時，日誌易為解決信創產品給企業帶來的運維差異問題，推出了「創志計劃」，旨在與信創生態夥伴共同打造專業的運維監控應用，幫助企業解決信創產品運維經驗不足的問題。5.豐富的信創項目建設案例與方案日誌易結合多年信創工作經驗和案例，幫助企業使用者逐步實現信創項目建設，包括前期信創諮詢、信創項目實施以及最終驗收等。 此外針對替換日誌平臺的使用者，日誌易提供完善的數據遷移或雙軌運行方案。

日誌易信創實踐經驗

案例一：信創改造

某證券公司進行ELK開源日誌平臺信創改造，其主要挑戰如下：1.隨著數據接入越來越多，集群越來越大，ELK性能瓶頸愈發明顯，運維資源投入過高2.平臺功能無法適用該證券公司的運維分析需求，分析能力完全依賴開發定製，導致實現週期長3.根據國家對金融信創建設的要求，該企業需要對現有平臺進行國產化替代，且歷史原因導致無法直接下線原有平臺，所以需要雙軌制運行方案逐步將開源日誌平臺替換下線4.該企業對於信創改造工作經驗不足，且行業內可參考案例較少，在技術選型、改造影響、改造效果等方面難以進行全面評估

日誌易解決方案首先日誌易產品支援全棧信創建設，而且已經積累了數十家金融及其他關鍵行業的信創建設案例，結合日誌易在信創發展過程中積累的經驗，為使用者提供專業的信創諮詢及服務。 經過眾多甲方嚴格的功能和性能測試表明，日誌易在大數據量接收處理、查詢回應以及應用場景分析效率方面都優於現有的開源應用平臺，應用維護便利性也獲得了客戶的一致好評。 日誌易提供與現有平臺雙軌並行的數據接入方案，新數據將按照計劃分段併入日誌易平臺，待系統平穩后逐步下線開源平臺，最終平穩實現國產化替代，滿足政策要求。

日誌易平台上線后，逐步擴大了數據量的接入覆蓋面，原本開源平臺每日接入200GB數據量，擴大之後數據量達到1.4TB/天。 此外，維護效率從原來的手動集群配置變成介面配置或自動配置，既提高了應用便利性又能有效降低人員誤操作風險。

案例二：新建信創專案

某銀行作為二期試點單位進行信創專案初次建設，實踐經驗不足，對信創專案申報、產品選型、項目建設、信創驗收等方面都不太瞭解，非常擔心建設成果無法順利通過指定機構的驗收。

針對客戶關注的重點，日誌易非常理解。 信創政策的半透明狀態給企業帶來不小的困擾，但是要求企業選用安全可靠、自主核心技術產品的要求是明確的。 從核心技術應用和掌握方面來看，日誌易支援核心技術棧國產化替換，同時作為日誌平臺核心，平臺數據採集、數據處理、數據搜尋引擎、分析建模工具再到可視化元件等都是自主可控，核心技術已獲發明專利84項、外觀專利81項，成功落地信創案例數十家。 在整個專案建設過程中，日誌易能夠在專案的啟動、規劃、執行、監控和收尾的各個環節中提供專業的服務與可信的技術支撐。

現在預約，瞭解更多信創解決方案：Get In Touch With Us

近日，Gartner 发布了《2025中国网络安全技术成熟度曲线》报告（Hype Cycle for Cybersecurity in China, 2025），日志易作为 SIEM 领域代表厂商（Sample Vendor）入选该报告。继首次入选《2024年中国安全技术成熟度曲线》报告（Hype Cycle for Security in China, 2024），日志易已经连续两年作为 SIEM 领域代表厂商获得认可。

报告中提到：“SIEM 通过聚合与标准化安全数据，集中呈现组织整体安全态势，是高效安全计划的核心环节，它帮助安全运营中心（SOC）识别、优先级排序并调查安全事件，为日常安全运营决策提供全局可见性。”日志易是工信部认定的第三批专精特新“小巨人”企业、瞪羚企业、信创工委会 WG24 大数据组组长。公司自研国内首个 PB 级高可用日志搜索引擎 Beaver，配套低代码搜索处理语言 SPL，每天可稳定处理 PB 级新增日志，已服务于金融、能源、运营商等近千家头部客户，帮助各行业用户挖掘和利用机器数据价值，提升数字化运营能力，轻松应对 IT 及业务挑战。

依托 Beaver 引擎与流批一体计算框架，日志易以 SIEM+UEBA+SOAR “三驾马车”为核心构建安全产品矩阵：SIEM 对日志、流量、资产、漏洞、威胁情报进行多源关联，支持边界、内网、云、端点、基础设施及身份六大场景化威胁建模，实现秒级检测与分钟级溯源；UEBA 内置数十种机器学习算法，实时描绘用户与实体行为基线，精准发现内部异常、横向移动及数据泄露风险；SOAR 通过可视化 Playbook 编排与 API 级设备联动，将告警、工单、处置、复盘全流程自动化，平均响应时间从数小时缩短至分钟级；日志审计一体机 LAS 则开箱即用，一站式满足等保 2.0、关基、密评等合规审计要求，帮助中小企业零代码快速上线安全运营中心。

日志易已将大模型能力全面注入安全运营闭环：告警研判 Agent 依托 MITRE ATT&CK 框架自动聚合上下文，误报率显著下降；溯源图谱智能体基于 ReAct 框架在分钟级还原完整攻击链；Copilot 智能助手把自然语言转化为 SPL 查询，安全分析像对话一样简单；AI 动态编排 SOAR 剧本，实现跨设备一键处置，让每一次响应都是“专家级”决策。日志易正携手客户持续筑牢动态防御的护城河，让安全运营更简单、更智能、更可信，加速向 AISOC 演进。

随着国家信息技术应用创新（信创）战略的全面推进，企业 IT 基础设施的自主可控成为保障国家安全与产业竞争力的核心任务。开源工具 ELK（Elasticsearch+Logstash+Kibana）虽曾凭借开源特性广泛应用于日志管理场景，但其固有的三大风险已成为企业数字化转型的重大隐患：

01 安全漏洞频发，数据防线岌岌可危

近几年来，ES 数据泄露事件频发给国内各行业用户敲响了数据安全的警钟。比如:

2019 年发生的 ES 数据泄露事件，泄露包括 27 亿个电子邮件地址，其中 10 亿个密码是以简单的明文存储，涉及国内多家互联网公司。2021 年 Group-IB 报告显示，网络上暴露的 ES 实例超过 10 万个，约占 2021 年暴露数据库总数的 30% 。2022 年漫画阅读平台 Mangatoon 遭遇数据泄露，黑客从不安全的 ES 数据库中窃取了属于 2300 万用户帐户的信息。

02 政治与供应链风险，技术主权受制于人

ES 作为国外技术栈，其开源协议隐含 “政治干预” 风险。2022 年 3 月，Elastic 公司因地缘政治因素对俄罗斯企业断供产品，凸显技术供应链的不稳定性。在信创政策要求下，依赖国外开源工具可能导致 “卡脖子” 风险，无法满足关键行业对技术自主性的要求。

03 运维成本高企，功能扩展受限

ELK 需企业自主搭建与维护，硬件成本、开发人力投入巨大。其分析函数仅 60 余个，复杂场景需深度开发；海量日志下 ES 性能衰减显著，集群故障频发，且依赖社区支持导致故障处理滞后。某券商曾因 ELK 集群扩容耗时过长，错失业务高峰期数据实时分析机会，造成潜在经济损失。

信创浪潮下，实现日志管理系统的国产化替代，既是政策要求，更是企业规避技术风险、提升核心竞争力的必然选择。

二. 日志易 ELK 替代方案：四大维度定义国产日志管理新范式

日志易作为国内日志大数据领域的领军者，依托全自研 Beaver 搜索引擎，推出覆盖 “安全、性能、功能、运维” 的一体化 ELK 替代方案，核心优势如下：

01 信创合规：全栈自主，安全可控

技术自主性：日志易Beaver 引擎自主研发，通过信通院信创认证，支持国产服务器（如华为鲲鹏）、操作系统（如麒麟 / 统信）、数据库（如人大金仓）全栈适配，从底层架构到上层应用实现完全国产化。

安全体系：数据采集 HTTPS 加密、存储支持国密算法、权限分级管理及实时审计，满足金融等行业等保 2.0 与信创合规要求，避免 “棱镜门” 类安全隐患。

02 性能跃升：速度与效率双领先

03 功能兼容：无缝迁移，深度拓展

无缝对接：支持 Logstash/Flume 数据管道直接对接，某证券企业通过 “并行写入” 模式实现 7 天内零中断迁移。

分析能力革新：日志易自研 SPL 低代码语言，提供  300多个分析函数，支持跨集群搜索、时序分析等复杂场景。某零售企业利用 SPL 组合指令，将促销活动日志分析周期从 2 小时缩短至 15 分钟。

04 智能运维：极简管理，效率倍增

全界面化自管理：集群扩容、版本升级、性能监控等操作均可通过可视化界面完成，某云计算企业运维效率提升 70%，人力成本降低 60%。

原厂全链路支持：区别于 ELK 的社区依赖，日志易提供原厂技术支持，某制造企业通过远程诊断 4 小时内定位并修复集群故障，较 ELK 社区响应快 80%。

三. 国产化迁移路径：两阶段实现平滑过渡

01 第一阶段：并行验证，风险隔离

数据双写：保持原有 ELK 架构不变，同步将日志数据写入日志易 Beaver 引擎，通过接口校验（如聚合结果一致性）、性能压测（如万级并发查询）确保功能无差异。

场景验证：选取核心业务场景（如安全告警、交易日志分析）进行对比测试，某银行通过此阶段验证，确认日志易在实时告警响应速度上优于 ELK 3 倍。

02 第二阶段：全面替换，价值深挖

流量切换：分批次将业务查询、分析任务迁移至日志易平台，保留 ELK 集群作为过渡，某互联网企业采用 “灰度发布” 模式，2 周内完成全量替换。

能力升级：利用 SPL 低代码开发深度分析场景（如用户行为路径分析），某保险企业通过新增 20 + 分析模型，风险识别准确率提升 90%。

四. 行业实践：多领域标杆企业的选择

01 某大型银行：安全与效率双突破

替换前：使用 ELK 管理 1TB / 日日志，查询延迟达分钟级，安全漏洞修复依赖社区，合规压力显著。

替换后：日志体量增长至 5TB / 日，Beaver 写入速度提升 4 倍，实时检索响应秒级，通过信创认证，风险预警准确率提升 90%。

02 某汽车集团：降本增效与智能制造并行

替换前：ELK 集群管理需 5 人团队，设备故障定位平均耗时 4 小时，存储成本年增 30%。

替换后：运维团队缩编至 2 人，故障定位时间缩短至 15 分钟，冷数据压缩率 0.37 倍，年存储成本节省 400 万元。

03 某电网企业：大规模集群管理的国产化范本

替换前：ELK 集群扩容需停机操作，日均处理 40GB 日志，跨区域数据查询需手动同步。

替换后：Beaver 支持在线扩容与跨集群搜索，日均处理日志提升至 200GB，分析效率提升 5 倍，充分满足国产化合规要求。

五. 选择日志易，共筑信创时代数字基石

在信创战略加速落地的背景下，日志易 ELK 国产替代方案以 “自主可控的技术底座、性能领先的引擎能力、平滑过渡的迁移策略”，为企业提供了可信赖的国产化路径。截至目前，日志易已服务超 500 家信创客户，覆盖金融、能源、制造等关键领域，累计处理日志数据量超 10EB，助力客户在合规框架下释放日志数据价值。

未来，日志易将持续深耕技术创新，以全栈自研能力推动日志管理国产化进程，成为企业数字化转型的可靠伙伴。

近年来，日志易作为国内领先的日志分析平台开发商，在安全事件分析领域积累了大量用户。为了深入分析安全运营市场并了解用户对日志易安全产品的使用情况，公司安全事业部开展了一次广泛的问卷调研。本次调研专注于近年来部署并使用日志易安全产品的重点用户，历时近两个月，收集了来自金融、制造业、高科技、运营商等多个行业用户的问卷反馈。

重点解析

NO.1 安全运营环境趋势

企业主要采用云下或混合云安全运营模式，预计这一趋势将持续

NO.2 日常使用率高

85%的用户每天使用安全运营平台

NO.3 功能需求重点

用户最关注日志统一管理、威胁监控与预警、威胁分析三大功能

NO.4 多源数据管理

近半数用户接入16种以上数据

NO.5 规则需求数量情况

大多数用户规则数量少于50，满足基本运营需求

NO.6 SOAR自动化接受度

60%以上的用户采用SOAR自动化

NO.7 大屏展示需求增长

近半数用户需要3张以上大屏，反映多样化展示需求

在信息化时代，日志数据成为企业核心资产。新质生产力通过技术创新和流程优化提升企业竞争力，而日志实践在其中发挥重要作用：通过记录和分析数据、 追踪问题、实现过程透明化和提供决策支持。2023年调研显示，企业的日志数据量迅速增长，新用户日志采购量同比提升50.58%。数据的激增促使企业寻求更高效的日志管理解决方案。日志易系列新产品的推广与应用、售后服务质量的不断提升显著提高了企业级用户的日志使用质量，企业对日志数据长期价值的重视程度也在不断增加。本报告期望帮助企业用户了解最新的日志管理技术趋势及现状，以构建更高质量的日志数据管理服务。

重点解析

NO.1

50%的用户表示多个部门正在同时使用日志易， 较2022年有所提升。

NO.2

可观测性数据中，流量数据和全链路数据比例对比2022年有所增加。

NO.3

相比2022年，日志留存时间在180天以上的用户占比有所提升，经常查询90天以内数据且偶尔查询90天以上数据的用户占比大幅提升。

NO.4

与2022年相比，经常使用读时建模指令parse的用户提升了5个百分点。

NO.5

在产品常用功能方面，可观测性、SIEM、UEBA、数据治理等热门功能使用率较2022年均有所提升；用户对安全相关功能的需求显著增长，其中在威胁处置、漏洞分析与管理方面的需求增长尤为突出。

NO.6

相比2022年，用户对于UEBA的应用期望大幅增长，数据治理和智能运维的应用期望也有所增长。

NO.7

信创普及度不断提升，已完成信创部署及有信创计划的用户比例均有所增长，金融行业用户逐步完成信创改造。

NO.8

与2022年数据合并对比，大客户在管理制度建设上表现更优，中小规模用户的日志管理制度建设存在较大提升空间。