如何开启或关闭WAF日志服务 - Web 应用防火墙

Web应用防火墙（Web Application Firewall，简称WAF）默认关闭日志服务功能。如果您需要存储防护对象的日志数据，并对日志数据进行查询与分析，您需要先开启WAF日志服务。如果您不再需要使用日志服务，对于包年包月实例，在实例到期释放前无法直接关闭日志服务，您可以通过降低日志服务容量配置来减少当前费用，待实例被释放时自动关闭，对于按量付费实例，您可以直接关闭日志服务。

开启日志服务

前提条件

已开通WAF 3.0包年包月高级版、企业版、旗舰版实例，或按量付费版实例。具体操作，请参见购买WAF 3.0包年包月实例、开通WAF 3.0按量付费实例。

说明

WAF 3.0包年包月基础版实例不支持开启日志服务。如果您希望使用日志服务，建议您先升级版本。具体操作，请参见升级与降配。

包年包月实例

通过购买页开启
访问Web应用防火墙3.0（包年包月）购买页，开启日志服务，并根据实际需要选择日志存储容量后，完成支付。
在WAF控制台开启
1. 登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
2. 在左侧导航栏，选择检测与响应 > 日志服务
3. 在对防护对象开启日志区域，选择所需地域。
  支持选择的日志服务存储的地域如下：
  - 中国内地：华东1（杭州），华北2（北京）
  - 非中国内地：马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）、阿联酋（迪拜）、德国（法兰克福）、美国（弗吉尼亚）、美国（硅谷）、日本（东京）、韩国（首尔）、英国（伦敦）、中国（香港）、沙特（利雅得）
  警告
  - 开启后日志将存储在客户选择的地域中。客户一旦开启不可更改，只有通过释放WAF实例才可以重新更换日志存储地域，需要谨慎选择。
  - 如果您选择的地区为沙特（利雅得），则仅在沙特虚拟商渠道下单购买的WAF实例才支持投递。
4. 单击开启日志服务。

按量付费实例

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，选择检测与响应 > 日志服务
在对防护对象开启日志区域，选择所需地域。
支持选择的日志服务存储的地域如下：
- 中国内地：华东1（杭州），华北2（北京）
- 非中国内地：马来西亚（吉隆坡）、印度尼西亚（雅加达）、菲律宾（马尼拉）、泰国（曼谷）、阿联酋（迪拜）、德国（法兰克福）、美国（弗吉尼亚）、美国（硅谷）、日本（东京）、韩国（首尔）、英国（伦敦）、中国（香港）
警告
开启后日志将存储在客户选择的地域中。客户一旦开启不可更改，只有通过释放WAF实例才可以重新更换日志存储地域，需要谨慎选择。
单击开启日志服务。
说明
- 按量付费实例开通日志服务后，WAF不会收取任何费用。所有日志费用将由日志服务SLS统一结算。

开启日志服务后，阿里云将自动为您创建如下内容：

WAF服务关联角色AliyunServiceRoleForWAF
自动创建的WAF服务关联角色可用于访问其他云资源。您可以在RAM控制台的身份管理 > 角色页面，查看阿里云为WAF自动创建的服务关联角色。关于RAM角色的更多介绍，请参见RAM角色概览。
说明
WAF服务关联角色只需创建一次，如果AliyunServiceRoleForWAF角色已经存在，则无需重复创建。

WAF专属的日志项目（Project）和默认日志库（Logstore）

下表描述了阿里云日志服务自动创建的WAF日志项目及日志库的默认配置。

警告

删除或修改日志服务自动创建的日志项目、日志库，将导致用户数据被清除，请谨慎操作。

资源类型

说明

日志项目（Project）

日志服务自动为WAF创建一个专属日志项目。日志项目的具体信息如下：

中国内地WAF实例：
- 按量付费日志项目名称为wafnew-project-阿里云账号ID-cn-hangzhou，所属地域为华东1（杭州）。
- 包年包月日志项目名称为wafng-project-阿里云账号ID-cn-hangzhou，所属地域为华东1（杭州）。
非中国内地WAF实例：
- 按量付费日志项目名称为wafnew-project-阿里云账号ID-ap-southeast-1，所属地域为新加坡。
- 包年包月日志项目名称为wafng-project-阿里云账号ID-ap-southeast-1，所属地域为新加坡。

您可以在日志服务控制台的首页，查询WAF专属日志项目。单击日志项目名称可以进入项目。

关于日志项目的更多介绍，请参见管理Project。

日志库（Logstore）

WAF日志项目下默认已创建一个日志库。WAF日志库的名称为wafnew-logstore。WAF投递到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。

WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。

重要

只有阿里云账号下的日志服务产品处于正常使用状态时，WAF日志库才可以正常使用。如果您的日志服务产品欠费，WAF日志投递功能将暂停工作。当您及时补缴欠款后，日志投递功能将自动恢复。

关于日志库的更多介绍，请参见管理Logstore。

后续步骤

开启日志投递
开启日志服务后，您还需要为WAF防护对象开启日志投递，然后WAF才会投递防护对象的日志数据，供您查询与分析。
- 您可以在日志服务页面，选择要进行日志投递的防护对象，打开日志投递状态开关。
- 您也可以通过日志设置，批量为防护对象开启SLS投递。具体操作，请参见管理日志投递状态。
日志查询
您可以通过日志查询，对防护对象的日志数据进行查询与分析，并基于查询与分析结果生成统计图表、创建告警等。具体操作，请参见日志查询。

关闭日志服务

包年包月实例

包年包月实例的日志服务暂不支持直接关闭，将在实例到期且不再续费时，随实例释放自动被关闭。您可以通过降低日志存储容量规格来减少日志服务费用，具体操作，请参见升级与降配。

警告

降低日志存储容量规格后，可能导致日志存储容量达到上限，造成新的日志数据无法被写入，从而导致日志数据不完整。

按量付费实例

警告

关闭日志服务，将导致日志服务自动创建的WAF专属日志库（Logstore）以及日志库中记录的日志数据被清除。请确认不再使用日志服务后，再进行该操作。

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，选择检测与响应 > 日志服务
在日志服务页面，单击关闭服务。在确认对话框，单击确定。