如何開啟或關閉WAFLog Service - Web Application Firewall

Web Application Firewall（Web Application Firewall，簡稱WAF）預設關閉Log Service功能。如果您需要儲存防護對象的日誌資料，並對日誌資料進行查詢與分析，您需要先開啟WAFLog Service。如果您不再需要使用Log Service，對於訂用帳戶執行個體，在執行個體到期釋放前無法直接關閉Log Service，您可以通過降低Log Service容量配置來減少當前費用，待執行個體被釋放時自動關閉，對於隨用隨付執行個體，您可以直接關閉Log Service。

開啟Log Service

前提條件

已開通WAF 3.0訂用帳戶進階版、企業版、旗艦版執行個體，或隨用隨付版執行個體。具體操作，請參見購買WAF 3.0訂用帳戶執行個體、開通WAF 3.0隨用隨付執行個體。

說明

WAF 3.0訂用帳戶基礎版執行個體不支援開啟Log Service。如果您希望使用Log Service，建議您先升級版本。具體操作，請參見升級與降配。

訂用帳戶執行個體

通過購買頁開啟
訪問Web Application Firewall3.0（訂用帳戶）購買頁，開啟日志服务，並根據實際需要選擇日誌儲存容量後，完成支付。
在WAF控制台開啟
1. 登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。
2. 在左側導覽列，選擇检测与响应 > 日志服务
3. 在對防護對象開啟日誌地區，選擇所需地區。
  支援選擇的Log Service儲存的地區如下：
  - 中国内地：華東1（杭州），華北2（北京）
  - 非中国内地：馬來西亞（吉隆坡）、印尼（雅加達）、菲律賓（馬尼拉）、泰國（曼穀）、阿聯酋（杜拜）、德國（法蘭克福）、美國（維吉尼亞）、美國（矽谷）、日本（東京）、韓國（首爾）、英國（倫敦）、中國（香港）、沙特（利雅得）
  警告
  - 開啟後日誌將儲存在客戶選擇的地區中。客戶一旦開啟不可更改，只有通過釋放WAF執行個體才可以重新更換日誌儲存地區，需要謹慎選擇。
  - 如果您選擇的地區為沙特（利雅得），則僅在沙特虛擬商渠道下單購買的WAF執行個體才支援投遞。
4. 單擊开启日志服务。

隨用隨付執行個體

登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。
在左側導覽列，選擇检测与响应 > 日志服务
在對防護對象開啟日誌地區，選擇所需地區。
支援選擇的Log Service儲存的地區如下：
- 中国内地：華東1（杭州），華北2（北京）
- 非中国内地：馬來西亞（吉隆坡）、印尼（雅加達）、菲律賓（馬尼拉）、泰國（曼穀）、阿聯酋（杜拜）、德國（法蘭克福）、美國（維吉尼亞）、美國（矽谷）、日本（東京）、韓國（首爾）、英國（倫敦）、中國（香港）
警告
開啟後日誌將儲存在客戶選擇的地區中。客戶一旦開啟不可更改，只有通過釋放WAF執行個體才可以重新更換日誌儲存地區，需要謹慎選擇。
單擊开启日志服务。
說明
- 隨用隨付執行個體開通Log Service後，WAF不會收取任何費用。所有日誌費用將由Log ServiceSLS統一結算。

開啟Log Service後，阿里雲將自動為您建立如下內容：

WAF服務關聯角色AliyunServiceRoleForWAF
自動建立的WAF服務關聯角色可用於訪問其他雲資源。您可以在RAM控制台的身份管理 > 角色頁面，查看阿里雲為WAF自動建立的服務關聯角色。關於RAM角色的更多介紹，請參見RAM角色概覽。
說明
WAF服務關聯角色只需建立一次，如果AliyunServiceRoleForWAF角色已經存在，則無需重複建立。

WAF專屬的記錄項目（Project）和預設日誌庫（Logstore）

下表描述了阿里雲Log Service自動建立的WAF記錄項目及日誌庫的預設配置。

警告

刪除或修改Log Service自動建立的記錄項目、日誌庫，將導致使用者資料被清除，請謹慎操作。

資源類型

說明

記錄項目（Project）

Log Service自動為WAF建立一個專屬記錄項目。記錄項目的具體資訊如下：

中國內地WAF執行個體：
- 隨用隨付記錄項目名稱為wafnew-project-阿里雲帳號ID-cn-hangzhou，所屬地區為華東1（杭州）。
- 訂用帳戶記錄項目名稱為wafng-project-阿里雲帳號ID-cn-hangzhou，所屬地區為華東1（杭州）。
非中國內地WAF執行個體：
- 隨用隨付記錄項目名稱為wafnew-project-阿里雲帳號ID-ap-southeast-1，所屬地區為新加坡。
- 訂用帳戶記錄項目名稱為wafng-project-阿里雲帳號ID-ap-southeast-1，所屬地區為新加坡。

您可以在Log Service控制台的首頁，查詢WAF專屬記錄項目。單擊記錄項目名稱可以進入專案。

關於記錄項目的更多介紹，請參見管理Project。

日誌庫（Logstore）

WAF記錄項目下預設已建立一個日誌庫。WAF日誌庫的名稱為wafnew-logstore。WAF投遞到的所有日誌都將儲存到該日誌庫。您可以在WAF記錄項目中查詢WAF日誌庫。

WAF日誌庫不支援通過API、SDK等方式寫入除WAF日誌外的其他類型資料。該日誌庫在查詢、統計、警示、流式消費等功能上無特殊限制。

重要

只有阿里雲帳號下的Log Service產品處於正常使用狀態時，WAF日誌庫才可以正常使用。如果您的Log Service產品欠費，WAF日誌投遞功能將暫停工作。當您及時補繳欠款後，日誌投遞功能將自動回復。

關於日誌庫的更多介紹，請參見管理Logstore。

後續步驟

開啟日誌投遞
開啟Log Service後，您還需要為WAF防護對象開啟日誌投遞，然後WAF才會投遞防護對象的日誌資料，供您查詢與分析。
- 您可以在Log Service頁面，選擇要進行日誌投遞的防護對象，開啟日誌投遞狀態開關。
- 您也可以通過日誌設定，批量為防護對象開啟SLS投遞。具體操作，請參見管理日誌投遞狀態。
日誌查詢
您可以通過日誌查詢，對防護對象的日誌資料進行查詢與分析，並基於查詢與分析結果產生統計圖表、建立警示等。具體操作，請參見日誌查詢。

關閉Log Service

訂用帳戶執行個體

訂用帳戶執行個體的Log Service暫不支援直接關閉，將在執行個體到期且不再續約時，隨執行個體釋放自動被關閉。您可以通過降低日誌儲存容量規格來減少Log Service費用，具體操作，請參見升級與降配。

警告

降低日誌儲存容量規格後，可能導致日誌儲存容量達到上限，造成新的日誌資料無法被寫入，從而導致日誌資料不完整。

隨用隨付執行個體

警告

關閉Log Service，將導致Log Service自動建立的WAF專屬日誌庫（Logstore）以及日誌庫中記錄的日誌資料被清除。請確認不再使用Log Service後，再進行該操作。

登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。
在左側導覽列，選擇检测与响应 > 日志服务
在Log Service頁面，單擊关闭服务。在确认對話方塊，單擊确定。