すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:ログのクエリ

    ドキュメントセンター

    Web Application Firewall:ログのクエリ

    最終更新日:Sep 26, 2024

    Web Application Firewall (WAF) の保護オブジェクトのログ配信機能を有効にすると、保護オブジェクトのログを照会および分析できます。 次に、チャートを生成し、クエリと分析の結果に基づいてアラートを設定できます。

    前提条件

    データのクエリと分析

    1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

    2. 左側のナビゲーションウィンドウで、検出と応答 > SLS.

    3. の上部にログサービスページで、ログを照会する保護オブジェクトを選択します。

      重要

      保護されたオブジェクトに対してログ配信機能が有効になっていることを確認します。 保護対象オブジェクトのログ配信機能が無効になっている場合、WAFは保護対象オブジェクトのログを収集せず、保護対象オブジェクトのログを照会または分析することはできません。 保護されたオブジェクトのログ配信機能を有効にするには、log Serviceページで保護されたオブジェクトのステータスをオンにします。 [ログ設定] ページに移動し、[配信設定] タブの保護されたオブジェクトの Simple Log Service 配信ステータス 列のスイッチをオンにすることもできます。 詳細については、「ログ配信ステータスの管理」をご参照ください。

      日志报表

    4. [ログクエリ] タブで、クエリステートメントを入力します。 次に、ステートメントを実行して、選択した保護オブジェクトのログを照会および分析します。

      日志查询与分析

      保護オブジェクトのログを照会および分析するには、次の手順を実行します。

      1. 上の図で1のラベルが付いた検索ボックスに検索文を入力します。

        Alibaba Cloud Simple Log Serviceに固有の構文に基づいて検索文を記述する必要があります。 構文の詳細については、「検索構文」をご参照ください。 検索文にWAFログのフィールドを検索フィールドとして含めることができます。 WAFでサポートされているログフィールドの詳細については、「ログフィールド」をご参照ください。

        検索構文に慣れていない場合は、[詳細検索] をクリックして詳細設定を行うことを推奨します。 検索ボックスの上にある [詳細検索] をクリックします。 次に、検索条件を指定し、[検索] をクリックします。 検索条件に基づいて、検索ボックスに検索文が自動的に生成されます。 高级搜索指定できる検索条件を次の表に示します。

        検索条件

        説明

        IP

        リクエストを送信するクライアントのIPアドレス。

        リクエストID

        WAFがクライアント要求に対して生成する一意の識別子。 リクエストIDは、WAFがブロックページまたは応答ページをクライアントに返すときに提供されます。 応答ページは、スライダーCAPTCHA検証を完了するようにクライアントに促します。 リクエストIDを使用して、エラーを分析およびトラブルシューティングできます。

        ルールID

        リクエストに一致するWAF保護ルールのID。 ルールIDを照会するには、[基本的なWeb保護] ページに移動します。 [セキュリティレポート] ページに移動して、一致したルールまたは統計の詳細を表示することもできます。 詳細については、「セキュリティレポート」をご参照ください。

        オリジンサーバーから返されるステータスコード

        WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。

        WAFから返されるステータスコード

        WAFからクライアントへの応答に含まれるHTTPステータスコード。

        保護モジュール

        リクエストに一致するWAF保護モジュール。 WAF保護モジュールとモジュールの構成方法の詳細については、「保護構成の概要」をご参照ください。

      2. 検索結果に対して計算操作と統計操作を実行する場合は、上の図で1のラベルが付いた検索ボックスの検索文に分析文を追加します。 検索結果を分析したくない場合は、この手順をスキップしてください。

        分析文と検索文は縦棒 (|) で区切ります。 標準のSQL-92構文に基づいて分析ステートメントを記述します。 分析ステートメントの詳細については、「ログ分析の概要」をご参照ください。

      3. 前の図で2というラベルの付いた時間ピッカーを使用して、ログを照会する時間範囲を指定します。

      4. クリック検索&分析前の図では3とラベル付けされています。

        ページの下部では、クエリと分析の結果をログ分布ヒストグラム、[Rawログ][グラフ] 、および [LogReduce] タブで表示できます。 クエリと分析の結果に基づいて、さまざまな操作を実行できます。 たとえば、クイック分析の実行、グラフの生成、アラートの設定などを行うことができます。 詳細については、「クエリと分析結果の説明」をご参照ください。

    クエリと分析結果の説明

    ヒストグラム

    分布直方图

    • 緑色の長方形の上にポインターを移動すると、長方形によって表される期間と、その期間内に返されたログの数を表示できます。

    • 緑色の四角形をダブルクリックすると、より細かいレベルでログの分布を表示できます。 [Rawログ] タブで、指定された期間内に返されたログを表示することもできます。

    生ログ

    [生ログ] タブには、クエリと分析の結果が表示されます。

    image.png

    セクション

    説明

    1

    [テーブル] または [生データ] をクリックして、ログの表示形式を切り替えます。

    2

    • image.png: ログの内容をコピーできます。

    • image.png: ログコンテンツで特定の情報にラベルを付けたり、エラー情報を照会したりできます。 このアイコンは副操縦士としても機能します。

    • 查询日志-004: 生のログファイルで特定のログのコンテキスト情報を表示できます。 Logtailによって収集されたログに対してのみコンテキストクエリを使用できます。 詳細については、「コンテキストクエリ」をご参照ください。

    • LiveTail: ログの内容をリアルタイムで監視し、主要なログ情報を抽出できます。 LiveTailは、Logtailによって収集されたログに対してのみ使用できます。 詳細については、「LiveTail」をご参照ください。

    3

    • 下载日志: ダウンロード範囲とダウンロードログを指定できます。 詳細については、「ログのダウンロード」をご参照ください。

    • image.png> JSON設定: JSONの表示タイプとJSON拡張のレベルを指定できます。

    • image.png> イベント設定: 生ログのイベントを設定できます。 詳細は、「イベントの設定」をご参照ください。

    4

    • image.png: お気に入りにビューを追加できます。 セクション5にフィールドが表示されたら、現在のビューをお気に入りに追加できます。 次に、セクション4の上のドロップダウンリストからビューを選択できます。

    • > タグ設定image.png: フィールドをシステムタグとして追加できます。

      Tag

    • > エイリアスimage.png: エイリアスをオンにすると、フィールドの名前がエイリアスに置き換えられます。 フィールドにエイリアスが設定されていない場合、フィールドの名前は保持されます。 フィールドのエイリアスを設定する方法の詳細については、「インデックスの作成」をご参照ください。

    5

    • [表示フィールド] の下にあるフィールドの上にポインターを移動し、image.pngアイコンをクリックして [表示フィールド] からフィールドを削除します。 次に、右側のログコンテンツにフィールドが表示されなくなります。

    • [インデックスフィールド] の下で、ポインターをフィールドの上に移動し、image.pngアイコンをクリックして、フィールドを [表示フィールド] に追加します。 次に、右側のログコンテンツにフィールドが表示されます。

    • image.png: 基本分布統計指標など、フィールドの詳細を表示できます。 詳細については、「クイック分析」をご参照ください。

    サポートされている操作

    image.png

    チャートの表示

    クエリステートメントを実行した後、[グラフ] タブでクエリと分析の結果を表示できます。

    • クエリおよび分析結果の表示: Simple Log Serviceは、クエリステートメントの結果をグラフにレンダリングします。 Simple Log Serviceは、表、折れ線グラフ、縦棒グラフなど、さまざまな種類のグラフを提供します。 Simple Log Serviceは、ProとStandardの2つのバージョンのチャートを提供します。 詳細については、「チャートの概要 (Pro) 」および「チャートの概要」をご参照ください。

    • ダッシュボードにグラフを追加する: Simple Log Serviceは、リアルタイムでデータを分析できるダッシュボードを提供します。 [新しいダッシュボードに追加] をクリックすると、クエリと分析の結果をグラフとしてダッシュボードに保存できます。 詳細については、「ビジュアライゼーションの概要」をご参照ください。

    • インタラクションの発生の設定: インタラクションの発生はデータ分析にとって重要です。 インタラクションオカレンスを使用して、データディメンションのレベルと分析の粒度を切り替えて、より詳細な情報を取得できます。 詳細については、「インタラクションの発生」をご参照ください。

    • スケジュールされたSQLジョブを作成する: Simple Log Serviceは、スケジュールされたSQL機能を提供します。 この機能を使用して、スケジュールされた時間にデータを自動的に分析し、データを集計して保存できます。 この機能を使用して、データをプロジェクトおよびフィルタリングすることもできます。 詳細については、「スケジュールされたSQLの仕組み」をご参照ください。

    LogReduce

    [LogReduce] タブで、[LogReduceの有効化] をクリックして、ログ収集中に同様のログをクラスター化できます。 詳細は、「LogReduce」をご参照ください。

    image.png

    SQL強化

    標準SQL機能を使用して、一定期間にわたって生成された大量のデータを分析する場合、Simple Log Serviceは1つのクエリリクエストのすべてのデータを分析できません。 専用SQL機能を有効にすると、コンピューティングリソースと、1回のクエリ要求で分析できるデータ量を増やすことができます。 詳細については、「Dedicated SQLの有効化」をご参照ください。

    スキャン

    ログをクエリまたは分析する必要があるが、インデックスを作成できない、または作成しなかった場合は、スキャン機能を使用できます。 詳細については、「スキャンログ」をご参照ください。

    アラート

    アイコンをクリックして另存为告警、クエリおよび分析結果のアラートを設定できます。 詳細については、「Simple Log Serviceでのアラートルールの設定」をご参照ください。

    保存済み検索

    アイコンをクリックすると快速查询、クエリステートメントを保存済み検索として保存できます。 詳細については、「保存済み検索」をご参照ください。

    共有

    アイコンをクリックしimage.pngて、現在のページのリンクをコピーし、他のユーザーとリンクを共有できます。