為Web Application Firewall (WAF)防護對象開啟日誌採集後,您可以通過日誌查詢,對防護對象的日誌資料進行查詢與分析,並基於查詢與分析結果產生統計圖表、建立警示等。
前提條件
已開啟WAFLog Service。具體操作,請參見開啟或關閉Log Service。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
已為WAF防護對象開啟日誌投遞。具體操作,請參見管理日誌投遞狀態。
查詢與分析日誌
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)。
在左側導覽列,選擇。
在Log Service頁面上方,選擇要查詢日誌的防護對象。
重要防護對象必須已經開啟日誌採集(即狀態開關已開啟),否則WAF不會採集其日誌資料,也不提供查詢與分析服務。如果已選擇的防護對象還沒有開啟日誌採集,您可以在此處為其開啟狀態開關,開啟日誌採集;或者前往日誌設定頁面,通過SLS投递状态,管理所有防護對象的日誌採集狀態。相關操作,請參見管理日誌投遞狀態。
在日誌查詢頁簽,通過查詢與分析語句,對WAF日誌資料進行查詢與分析。
具體步驟如下:
在語句輸入框(圖示①),輸入查詢語句。
查詢語句採用阿里雲Log Service專用文法,關於該文法的詳細介紹,請參見查詢文法。查詢語句中使用WAF日誌包含的欄位作為查詢欄位,關於支援使用的查詢欄位,請參見日誌欄位說明。
如果您不瞭解日誌查詢文法,推薦您使用進階搜尋。您只需在語句輸入框上方展開進階搜尋,設定搜尋條件並單擊搜尋,語句輸入框即可自動產生與搜尋條件匹配的日誌查詢語句。
下表描述了進階搜尋支援設定的搜尋條件。搜尋條件
說明
IP
發起請求的用戶端的IP地址。
請求ID
WAF為用戶端請求產生的唯一標識。WAF向用戶端返回攔截頁面或者滑塊驗證響應時會提供該ID,用於問題分析與故障排查。
規則ID
請求命中的WAF防護規則的ID。您可以防護規則頁面,查詢具體規則的規則ID;或者在安全報表頁面,通過規則命中紀錄或統計資料,擷取請求命中的規則ID。更多資訊,請參見安全報表。
伺服器響應狀態代碼
來源站點伺服器響應WAF回源請求的HTTP狀態代碼。
WAF返回用戶端響應碼
WAF響應用戶端請求的HTTP狀態代碼。
防護模組
請求命中的WAF防護模組的類型。關於WAF防護模組的介紹及不同模組防護規則的配置方法,請參見防護配置概述。
如果您需要對查詢結果進行計算和統計分析,可以在語句輸入框(圖示①)已輸入的查詢語句後,輸入分析語句;如果您只需要查詢滿足條件的日誌資料,可以跳過該步驟。
分析語句和查詢語句間使用豎線(|)分隔。分析語句採用標準的SQL 92文法,關於分析語句的更多介紹,請參見分析概述。
通過時間選取器(圖示②),設定要查詢的日誌的建立時間範圍。
單擊查詢/分析(圖示③)。
查詢與分析結果(即命中查詢條件的WAF日誌資料)將會顯示在頁面下方,包含日誌分布長條圖、原始日誌、統計圖表、日誌聚類。您可以基於查詢結果進行快速分析、產生統計圖表、設定警示等,具體說明,請參見查詢與分析結果說明。
查詢與分析結果說明
長條圖
將滑鼠懸浮在綠色資料區塊上時,您可以查看該資料區塊代表的時間範圍和日誌叫用次數。
雙擊綠色資料區塊,您可以查看更細時間粒紋的日誌分布,同時原始日誌頁簽中將同步展示指定時間範圍內的查詢結果。
原始日誌
單擊原始日誌頁簽,查看日誌查詢和分析結果。
序號 | 說明 |
1 | 單擊表格或原始,切換日誌格式。 |
2 | |
3 | |
4 |
|
5 |
|
:複製日誌內容。
:SLS Copilot,基於日誌內容總結資訊、尋找錯誤資訊等。
:查看指定日誌在原始檔案中的上下文資訊。只有通過Logtail採集到的日誌才支援上下文瀏覽功能。具體操作,請參見
:即時監控日誌內容,提取關鍵日誌資訊。只有通過Logtail採集到的日誌才支援LiveTail功能。 具體操作,請參見
:支援選擇下載範圍和下載工具。具體操作,請參見
>JSON設定:設定JSON展示類型和展示層級。 
:收藏視圖。在地區5設定顯示欄位後,可以收藏顯示視圖。在地區4上方的下拉式清單選擇視圖。
>tag設定:將欄位設定為系統Tag。
,將索引欄位從顯示欄位中清除,在右側的日誌資訊中不再顯示。
,將欄位添加到顯示欄位中,在右側的日誌資訊中顯示。
:查看欄位的基本分布情況、統計指標等資訊。具體操作,請參見可選步驟
統計圖表
執行查詢和分析語句後,您可以在統計圖表頁簽中查看可視化的查詢和分析結果。
查看查詢和分析結果:統計圖表是Simple Log Service根據查詢與分析語句渲染出的結果。Simple Log Service提供表格、線圖、柱狀圖等多種圖表類型。目前,統計圖表包括Pro版本和普通版本。具體操作,請參見統計圖表(Pro版本)概述、統計圖表概述。
添加圖表到儀錶盤:儀錶盤是Simple Log Service提供的即時資料分析大盤。單擊添加到儀錶盤,將查詢和分析結果以圖表形式儲存到儀錶盤中。具體操作,請參見可視化概述。
設定互動事件:互動事件是資料分析中不可缺少的功能之一,通過改變資料維度的層次、變換分析的粒度從而擷取資料中更詳盡的資訊。具體操作,請參見互動事件。
建立定時SQL任務:Simple Log Service提供定時SQL功能,用於定時分析資料、儲存彙總資料、投影與過濾資料。具體操作,請參見定時SQL。
日誌聚類
在日誌聚類頁簽中,單擊開啟日誌聚類,可實現在採集日誌時彙總相似性高的日誌。具體操作,請參見日誌聚類。
SQL增強
當您在使用SQL分析時,如果資料量較大,Log Service無法在一次查詢中完整分析這個時間段內的所有日誌。通過開啟SQL獨享版,增加計算資源,可以提升單次分析的資料量。更多資訊,請參見開啟SQL獨享版。
Scan掃描
在某些情境下無法建立索引、沒有建立索引,但仍需要查詢或分析日誌,可以使用掃描功能。更多資訊,請參見掃描(Scan)日誌。
警示
單擊
表徵圖,為查詢和分析結果設定警示。具體操作,請參見快速設定日誌警示。
快速查詢
單擊
表徵圖,將某一查詢和分析語句儲存為快速查詢。具體操作,請參見快速查詢。
分享
單擊
表徵圖,複製本頁面連結,分享給其他使用者。