Web Application Firewall(Web Application Firewall,簡稱WAF)Log Service通過阿里雲Log Service即時地採集已接入WAF防護的網站業務的全量日誌,並對採集到的日誌資料進行查詢與分析,以豐富的儀錶盤形式展示查詢結果,滿足等保合規要求和網站業務的防護及營運需求。本文介紹如何開通和使用WAFLog Service。
背景資訊
WAFLog Service只會儲存已開啟日誌採集的網站相關日誌。如果網站未開啟日誌採集,WAF不會儲存其日誌資料。
網站網域名稱開啟日誌採集後,WAF將按照下表描述的預設配置,自動儲存網站網域名稱的日誌資料。
日誌儲存配置 | 預設配置 | 是否支援修改預設配置 |
日誌儲存時間長度 | 日誌儲存時間長度為180天。 | 支援修改。可選範圍:15~360天。 |
自訂欄位配置 | 預設包含全部必選欄位和部分可選欄位。 | 支援修改。可修改WAF日誌中的可選欄位。 |
儲存類型 | 預設儲存網站網域名稱的全量日誌。 | 支援修改。可修改為僅儲存攔截日誌。 |
WAF支援修改以上預設配置。具體操作,請參見修改日誌設定。
前提條件
已開通進階版、企業版、旗艦版或獨享版訂用帳戶WAF執行個體。
已將網站網域名稱接入WAF進行防護。
如果您還沒有將網站網域名稱接入WAF防護,即使開通WAFLog Service,也不會產生日誌資料。建議您先將網站網域名稱接入WAF防護,再開通WAFLog Service。關於網站接入的具體操作,請參見使用教程。
已開通阿里雲Log Service。
首次登入Log Service控制台時,您可以根據頁面提示開通Log Service。
僅阿里雲帳號下的Log Service處於正常使用狀態時,WAF日誌庫才可以正常使用。
說明當阿里雲Log Service出現欠費時,WAF日誌採集功能將暫停工作。當您及時補繳欠款後,日誌採集功能將自動回復。
步驟一:開通WAFLog Service
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在Log Service頁面,單擊立即升級,並按照頁面提示完成升級。
說明如果您在購買WAF執行個體時已經開啟了Log Service,則無需進行升級操作,請跳過該步驟。
升級操作步驟:
在變更配置頁面,開啟Log Service,並根據您的業務需要選擇日誌儲存容量。
單擊去支付,並完成支付。
授權WAF訪問相關雲資源。具體操作,請參見建立服務關聯角色。
開通WAFLog Service後,阿里雲Log Service將自動為當前阿里雲帳號建立專屬的WAF記錄項目和日誌庫,完成日誌資料擷取前的準備工作。關於WAF專屬記錄項目及日誌庫的預設配置,請參見WAF專屬記錄項目及日誌庫。
步驟二:使用WAFLog Service
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
從網域名稱下拉式清單中選擇要開啟日誌採集的網站網域名稱,開啟右側的狀態開關,開啟該網站網域名稱的日誌採集功能。
網域名稱下拉式清單(圖示①)僅包含已接入WAF防護的網站網域名稱。如果您還未將網站網域名稱接入WAF防護,請先完成網站接入。具體操作,請參見使用教程。
在日誌查詢頁簽,通過查詢與分析語句,對WAF日誌資料進行查詢與分析。具體操作,請參見日誌查詢。
更多關於日誌查詢與分析的案例,請參見查詢與分析案例。
在日誌分析頁簽,查看WAF基於日誌資料為您整合的日誌分析儀錶盤。
日誌分析儀錶盤是WAF基於日誌資料,預先設定的一系列圖形報表,方便您直接查詢網站業務及安全防護的相關資料。日誌分析儀錶盤包含:
營運中心:展示網站的業務營運指標,包含請求趨勢、攻擊概況等。
訪問中心:展示網站的訪問指標、用戶端分布、流量與效能等。
資訊安全中心:展示網站的被攻擊指標、趨勢、來源分布等。
您只需設定查詢時間,即可直接查詢相關儀錶盤,並可以建立訂閱,通過郵件等方式定期接收儀錶盤資料報表。關於日誌分析儀錶盤包含的具體圖表資料以及如何建立訂閱,請參見查看日誌分析儀錶盤。
WAF專屬記錄項目及日誌庫
下表描述了阿里雲Log Service自動建立的WAF專屬記錄項目(Project)及日誌庫(Logstore)的預設配置。
請勿隨意刪除或修改Log Service為您建立的預設Project、Logstore、索引和儀錶盤設定。Log Service將不定期更新、升級WAF日誌查詢與分析功能,專屬日誌庫中的索引與預設報表也會自動更新。
資源類型 | 說明 |
Project | Log Service自動為WAF建立一個記錄項目(Project)。記錄項目的具體資訊如下:
您可以在Log Service控制台的首頁查詢WAF專屬記錄項目,單擊專案名稱可以進入專案。關於Project的更多介紹,請參見管理Project。 |
Logstore | WAF記錄項目下預設已建立一個日誌庫(Logstore)。WAF日誌庫名稱為 WAF日誌庫不支援通過API、SDK等方式寫入除WAF日誌外的其他類型資料。該日誌庫在查詢、統計、警示、流式消費等功能上無特殊限制。 |
Shard | WAF日誌庫預設包含兩個分區(Shard),並開啟了自動分裂資料分割函數。您可以通過Logstore基本資料查詢分區屬性。 關於Shard的更多介紹,請參見管理Shard。 |
儀錶盤 | WAF記錄項目下預設包含三個預置的儀錶盤,分別為營運中心、訪問中心、資訊安全中心。您可以在WAF記錄項目中查詢WAF日誌儀錶盤。 關於WAF日誌儀錶盤的更多介紹,請參見查看日誌分析儀錶盤。 |
更多內容
如果您的RAM使用者需要使用WAF日誌查詢與分析功能,您需要為其授予Log Service相關許可權。具體操作,請參見為RAM使用者授予日誌查詢分析許可權。
如果您需要瞭解更多關於WAF日誌查詢與分析的應用,請參見日誌應用教程。
如果您需要修改WAF日誌儲存規則、儲存容量等設定,請參見日誌儲存管理。