全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
Web 应用防火墙

全量日志检索

更新时间:2017-12-07 16:51:51

注:目前全量日志检索功能在包年包月模式的企业版及更高版本用户提供,按量付费模式可以选择付费开启,开启后按照价格总览中的收费标准收费。

如果您开启日志检索功能,则我们认为您允许阿里云记录您全部经过WAF的web请求(POST数据不会记录)。

使用日志检索功能,您可以方便的完成以下运维工作:

  • 确认某个具体请求是否被WAF拦截或放行
  • 确认某个具体的拦截规则是web攻击、CC攻击还是自定义的访问控制规则
  • 查询源站对于某个具体请求的响应时间(如是否超时等)
  • 以源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求

使用方法

使用日志检索功能,需要首先去“域名配置”对应的域名下点击域名检索功能并开启,我们才会开始记录开启该功能之后的访问日志(即开启之前的访问记录是不记录的):

开启日志

开启日志检索:

开启

开启后,可以通过“业务分析”->“全量日志”来查询日志了:

全量日志

您可以在查询时间里指定对应的时间段(目前最多记录最近一周的日志):

时间查询

并且使用高级搜索指定更多的检索条件(特别是筛选命中了WAF响应规则的请求):

高级搜索

比如被CC规则拦截的请求,会记录如下:

CC策略

特别对于响应信息的含义说明如下:

响应信息

  • Status:代表源站返回给WAF的响应状态,“-”代表没有响应(比如被WAF拦截的请求,或者源站响应超时的);
  • Upstream_ip:指这个请求对应的源站IP,比如WAF回源到ECS,这里就应该是ECS的IP
  • Upstream_time:指源站响应WAF请求的时间,“-”代表超时

注意:如果您中途又停用了日志检索功能,则停用该功能期间的日志我们不会再记录,未来如果再打开该功能,停用期间的日志也无法查询到。

本文导读目录