如果您希望将Web应用防火墙(Web Application Firewall,简称WAF)的混合云日志投递到您的Syslog或Kafka服务平台上,本文将指导您完成相关投递配置,帮助您满足日志运维诉求,挖掘日志数据价值,为业务安全运营增效。
前提条件
请确保您开通了支持混合云接入的包年包月企业版、包年包月旗舰版WAF,并开启了日志服务功能。
如果您希望投递日志的域名使用了混合云接入中的SDK集成模式,您需要先将接入的域名手动添加为防护对象。具体操作,请参见配置防护对象和防护对象组。
请确保您的混合云WAF镜像已经升级到最新版本。
设置混合云日志外发投递
混合云环境中,您的日志来源可能分散在多个云服务和本地设施中。外发投递功能可以将各个来源的日志发送到您的统一日志管理平台,便于统一监控、分析和管理。WAF支持您将混合云日志外发投递至Syslog及Kafka,您可以参照下面的操作步骤,对您的业务防护对象日志进行配置操作。
管理外发投递配置
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。,单击页面中的日志设置后进入默认字段设置页签。
在默认字段设置页签,您可以对所有的投递日志设置默认投递字段。日志字段的具体含义请参见日志字段说明。
在日志设置页面单击投递设置页签进入如下图所示页面。
单击
,进入外发投递配置页面。在该页面,您可以新增、编辑和删除配置。如果您第一次配置混合云日志外发投递,您可以单击新增外发投递配置,并参照下表完成配置后,单击保存完成新增配置操作。为了满足不同场景下的需求,WAF支持您持有多个外发投递配置,也支持为多个防护对象选择相同的外发投递配置,帮助您实现自由定制和管理日志。重要如果混合云防护对象绑定了该投递配置项,且外发投递状态为开启状态,则该配置项无法删除,请先关闭日志外发投递服务,然后再进行删除操作。
配置类型
配置项
说明
SYSLOG
配置名称
为该投递配置设置一个名称。
长度为1~100个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
说明配置完成后暂不支持使用编辑功能更改配置名称。
服务器IP/端口
接收日志的Syslog服务器IP地址和端口。
RFC
Syslog协议采用的RFC版本号。
协议
传输层通信协议类型,支持选择TCP或UDP协议
KAFKA
配置名称
为该投递配置设置一个名称。
长度为1~100个字符,支持中文和大小写英文字母,可包含数字、半角句号(.)、下划线(_)和短划线(-)。
说明配置完成后暂不支持使用编辑功能更改配置名称。
TOPIC ID/名称
对应的Topic ID信息。
域名
投递域名(要求网络可达)。
接入协议
PLAINTEXT
适用场景:消息传输过程无需加密,消息收发无需鉴权。
SASL_PLAINTEXT
适用场景:消息传输过程无需加密,消息收发需鉴权。
SASL_SSL
适用场景:消息传输过程需要加密,消息收发需要鉴权。
压缩类型
外发至Kafka日志的压缩类型,支持选择:none、gzip、zstd、lz4、snappy。
自定义CA
自定义CA证书。
开启或关闭日志外发投递
当您已经设置好您的外发投递配置后,返回投递设置页面,找到目标防护对象,单击外发投递状态列的图标,开启日志外发投递服务。
设置完成后,如需查看日志,可以通过您的Syslog或Kafka平台进行查询操作,实现数据的实时获取与分析。
当您希望关闭日志外发投递时,可以返回投递设置页面,找到目标防护对象,关闭日志外发投递服务。
外发投递开启后仅投递配置完成后新生成的日志,无法投递历史日志。
如果您想批量操作防护对象开启日志的外发投递设置,您可以先勾选多个防护对象后,在防护对象列表的下方找到批量操作栏,选择开启外发投递或者关闭外发投递。请注意,批量开启操作仅支持为当前选中的多个防护对象选择相同的外发投递配置。
如果您希望更换目标防护对象的外发投递配置,请您关闭当前投递后再次开启并选择您希望更换的外发投递配置。