全部產品
Search

搜尋本產品

    Web Application Firewall:日誌查詢

    文件中心

    Web Application Firewall:日誌查詢

    更新時間:Jan 20, 2026

    Web Application Firewall (WAF)防護對象開啟日誌採集後,您可以通過日誌查詢,對防護對象的日誌資料進行查詢與分析,並基於查詢與分析結果產生統計圖表、建立警示等。

    前提條件

    查詢與分析日誌

    1. 登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地非中国内地

    2. 在左側導覽列,選擇检测响应 > Log Service

    3. Log Service頁面上方,選擇要查詢日誌的防護對象。

      重要

      防護對象必須已經開啟日誌採集(即狀態開關已開啟),否則WAF不會採集其日誌資料,也不提供查詢與分析服務。如果已選擇的防護對象還沒有開啟日誌採集,您可以在此頁面搜尋並點擊防護對象名稱,然後為其開啟狀態開關,開啟日誌採集;或者前往日誌設定頁面,點擊投遞設定頁簽,通過SLS投遞狀態,管理所有防護對象的日誌採集狀態。相關操作,請參見管理日誌投遞狀態

      日誌報表

    4. 日誌查詢頁簽,通過查詢與分析語句,對WAF日誌資料進行查詢與分析。

      日誌查詢與分析

      具體步驟如下:

      1. 在語句輸入框(圖示①),輸入查詢語句。

        查詢語句採用阿里雲Log Service專用文法,關於該文法的詳細介紹,請參見查詢文法與功能。查詢語句中使用WAF日誌包含的欄位作為查詢欄位,關於支援使用的查詢欄位,請參見日誌欄位說明

        如果您不瞭解日誌查詢文法,推薦您使用進階搜尋。您只需在語句輸入框上方展開進階搜尋,設定搜尋條件並單擊搜索,語句輸入框即可自動產生與搜尋條件匹配的日誌查詢語句。進階搜尋下表描述了進階搜尋支援設定的搜尋條件。

        搜尋條件

        說明

        IP

        發起請求的用戶端的IP地址。

        請求ID

        WAF為用戶端請求產生的唯一標識。WAF向用戶端返回攔截頁面或者滑塊驗證響應時會提供該ID,用於問題分析與故障排查。

        規則ID

        請求命中的WAF防護規則的ID。您可以防護規則頁面,查詢具體規則的規則ID;或者在安全报表頁面,通過規則命中紀錄或統計資料,擷取請求命中的規則ID。更多資訊,請參見安全報表

        伺服器響應狀態代碼

        來源站點伺服器響應WAF回源請求的HTTP狀態代碼。

        WAF返回客戶端響應碼

        WAF響應用戶端請求的HTTP狀態代碼。

        防護模組

        請求命中的WAF防護模組的類型。關於WAF防護模組的介紹及不同模組防護規則的配置方法,請參見防護配置概述

      2. 如果您需要對查詢結果進行計算和統計分析,可以在語句輸入框(圖示①)已輸入的查詢語句後,輸入分析語句;如果您只需要查詢滿足條件的日誌資料,可以跳過該步驟。

        分析語句和查詢語句間使用豎線(|)分隔。分析語句採用標準的SQL 92文法,關於分析語句的更多介紹,請參見查詢與分析概述

      3. 通過時間選取器(圖示②),設定要查詢的日誌的建立時間範圍。

      4. 單擊日誌查詢(圖示③)。

        查詢與分析結果(即命中查詢條件的WAF日誌資料)將會顯示在頁面下方,包含日誌分布長條圖、原始请求头統計圖表日誌聚類。您可以基於查詢結果進行快速分析、產生統計圖表、設定警示等,具體說明,請參見查詢/分析頁面說明

    查詢/分析頁面說明

    頁面概覽image

    長條圖

    image

    • 將滑鼠懸浮在綠色資料區塊上時,您可以查看該資料區塊代表的時間範圍和日誌叫用次數。

    • 雙擊綠色資料區塊,您可以查看更細時間粒紋的日誌分布,同時原始日誌頁簽中將同步展示指定時間範圍內的查詢結果。

    原始日誌

    • 日誌詳情image

      • 單擊表格原始,切換日誌格式。

      • 下載日誌 > 下載日誌:可下載日誌到本地。具體操作,請參見下載日誌

      • image.png>JSON設定:設定JSON展示類型和展示層級。

      • image.png>事件配置:為原始日誌配置事件

      • image.png:複製日誌內容。

      • image.png:SLS Copilot,基於日誌內容總結資訊、尋找錯誤資訊等。

      • 查詢日誌-004:查看指定日誌在原始檔案中的上下文資訊。只有通過Logtail採集到的日誌才支援上下文瀏覽功能。具體操作,請參見上下文查詢

      • LiveTail:即時監控日誌內容,提取關鍵日誌資訊。只有通過Logtail採集到的日誌才支援LiveTail功能。 具體操作,請參見LiveTail

    • 顯示欄位image

      • 顯示欄位地區,單擊目標欄位後的image.png,將索引欄位從顯示欄位中清除,右側的日誌資訊中不再顯示。

      • image.png:收藏視圖。在地區5設定顯示欄位後,可以收藏顯示視圖。在地區4上方的下拉式清單選擇視圖。

      • image.png>tag設定:將欄位設定為系統Tag。

      • image.png>別名:開啟後,欄位名稱將被別名替換,未設定別名的欄位仍展示欄位名稱。設定欄位別名的步驟,請參見建立索引

    • 索引欄位image

      • 索引欄位地區,單擊目標欄位後的image.png,將欄位添加到顯示欄位中,在右側的日誌資訊中顯示。

      • image.png:查看欄位的基本分布情況統計指標等資訊。具體操作,請參見欄位設定

    統計圖表

    統計圖表是Simple Log Service根據查詢與分析語句渲染出的結果。Simple Log Service提供表格、線圖、柱狀圖等多種圖表類型。具體操作,請參見統計圖表。 執行查詢和分析語句後,您可以在統計圖表頁簽中查看可視化的查詢和分析結果。 image

    本頁簽其他功能說明:

    • 添加到儀錶盤:儀錶盤是Simple Log Service提供的即時資料分析大盤。單擊添加到儀錶盤,將查詢和分析結果以圖表形式儲存到儀錶盤中。具體操作,請參見可視化概述

    • 另存新檔定時SQLSimple Log Service提供定時SQL功能,用於定時分析資料、儲存彙總資料、投影與過濾資料。具體操作,請參見定時SQL

    • 互動事件:互動事件是資料分析中不可缺少的功能之一,通過改變資料維度的層次、變換分析的粒度從而擷取資料中更詳盡的資訊。具體操作,請參見為儀錶盤添加互動事件實現下鑽分析

    日誌聚類image

    日誌聚類頁簽中,單擊開啟日誌聚類,可實現在採集日誌時彙總相似性高的日誌。具體操作,請參見日誌聚類

    SQL增強image

    單擊右上方SQL獨享版表徵圖,可單次開啟SQL獨享版。當您在使用SQL分析時,如果資料量較大,Log Service無法在一次查詢中完整分析這個時間段內的所有日誌。通過開啟SQL獨享版,增加計算資源,可以提升單次分析的資料量。如需設定預設開啟,請參見高效能完全精確查詢與分析(SQL獨享版)

    警示image

    單擊右上方另存新檔警示表徵圖,將查詢和分析結果另存新檔警示。具體操作,請參見快速設定日誌警示

    快速查詢image

    單擊右上方快速查詢表徵圖,將當前查詢和分析語句另存新檔快速查詢。您可通過儲存的歷史操作,快速執行查詢和分析操作。具體操作,請參見快速查詢

    分享image

    單擊右上方image.png表徵圖,複製本頁面連結,分享給其他使用者。具體操作,請參見控制台內嵌及分享