全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
Web 应用防火墙

全量日志查询

更新时间:2018-04-12 10:11:14

注意: 如果您使用的是包年包月模式的Web应用防火墙,需要升级至企业版或更高版本(海外地区需要升级至旗舰版)使用全量日志查询功能;如果您使用的是按量付费模式的Web应用防火墙,可以在云盾Web应用防火墙管理控制台>设置>功能与规格页面的高级特性区域,勾选并付费启用全量日志查询功能,启用后将按照按量付费价格总览中的收费标准计费。

功能概述

全量日志功能将记录您网站的所有访问请求日志,通过一键智能搜索快速定位请求记录,满足您在运维、安全方面的管理需求。

通过全量日志功能,您可以轻松地完成以下运维工作:

  • 确认某个具体请求是否被WAF拦截或放行
  • 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发
  • 查询源站对于某个具体请求的响应时间,观察是否超时等
  • 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求

说明: 您启用全量日志查询功能,即表示您允许阿里云记录您全部经过WAF的web请求(POST数据不会被记录)。

操作步骤

开启日志检索

使用日志检索功能之前,需要在网站配置页面为指定的网站域名开启日志检索功能。只有开启日志检索功能后WAF才会开始记录该网站的访问日志。

说明: 只记录开启日志检索功能后的访问记录,而开启前的访问记录不会被记录。

  1. 登录云盾Web应用防火墙管理控制台,定位到管理>网站配置页面。

  2. 选择中国大陆海外地区

  3. 选择已添加的网站域名,在日志检索栏,单击开启日志检索功能。

    开启日志检索

查询全量日志

为网站域名开启日志检索功能后,您就可以在全量日志页面查询该网站的访问日志。

  1. 登录云盾Web应用防火墙管理控制台,定位到统计>全量日志页面。

    全量日志页面

  2. 选择域名,设置查询时间,单击搜索

    说明: 全量日志功能最多记录最近一个月内的访问日志。

    设置查询时间

    您也可以单击高级搜索,设置更详细的检索条件。

    说明: 除了支持设置源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件,您还可以通过勾选防护规则筛选命中相应WAF防护规则的访问请求记录。

    高级搜索条件

  3. 查看日志检索结果。

    • 业务访问量区域,查看检索时间范围内的访问请求量趋势图。

      业务访问量

    • 访问日志列表中,查看符合检索条件的访问请求记录。例如,被CC攻击防护规则拦截的访问请求记录如下图所示。

      访问日志列表

      关于源站响应信息中的参数含义说明

      源站响应信息

      • Status: 指源站返回给WAF的响应状态。如果返回“-”,表示没有响应(例如该请求被WAF拦截或源站响应超时)。
      • Upstream_ip:指该请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
      • Upstream_time:指源站响应WAF请求的时间。如果返回“-”,代表响应超时。
  4. 单击全量日志页面右上方的日志下载可为当前检索到的日志结果生成下载任务。下载任务生成完成后,在查看下载文件页签中即可将相应格式的日志文件下载到本地。

注意: 如果您在开启日志检索功能期间停用日志检索功能,则停用期间的访问请求日志不会被记录;即使重新开启日志检索功能,您也无法查询到停用期间的访问请求日志。

本文导读目录