启用全量日志功能后,WAF将记录您网站的所有访问请求日志,您可以通过一键智能搜索快速定位请求记录,满足运维、安全方面的管理需求。

背景信息

对于WAF高级版,您必须升级到企业版或旗舰版,才能使用全量日志查询。具体操作请参考续费与升级
说明
海外地域的WAF必须升级到旗舰版才可使用全量日志查询功能。
对于按量付费的WAF实例,您必须在 功能与规格中勾选 全量日志查询,才能使用该功能。具体操作,请参考功能与规格配置

通过全量日志功能,您可以轻松地完成以下运维工作:

  • 确认某个具体请求是否被WAF拦截或放行。
  • 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。
  • 查询源站对于某个具体请求的响应时间,观察是否超时等。
  • 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。
说明
启用全量日志查询功能,即表示您允许阿里云记录您全部经过WAF的Web请求(POST数据不会被记录)。
使用日志检索功能前,需要在 网站配置页面为指定的网站域名开启日志检索功能。只有开启 日志检索功能后,WAF才会开始记录该网站的访问日志。为网站域名开启日志检索功能后,您就可以在 全量日志页面查询该网站的访问日志。
说明
WAF企业版最多支持查看100个域名的全量日志。

操作步骤

  1. 登录云盾Web应用防火墙控制台
  2. 前往管理 > 网站配置页面,并在页面上方选择WAF所在地区(中国大陆、海外地区)。
  3. 选择已添加的网站域名,在日志检索栏,单击开启日志检索功能。
    说明
    您也可以在此页面停用日志检索。如果您停用日志检索功能,则停用期间的访问请求日志不会被记录;即使重新开启日志检索功能,您也无法查询到停用期间的访问请求日志。


  4. 前往统计 > 全量日志页面。
  5. 选择域名,设置查询时间,单击搜索
    说明
    全量日志功能最多记录最近一个月内的访问日志。

    您也可以单击高级搜索,设置更详细的检索条件。

    说明
    除了支持设置源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件,您还可以通过勾选防护规则筛选命中相应WAF防护规则的访问请求记录。


  6. 查看日志检索结果。
    • 业务访问量区域,查看检索时间范围内的访问请求量趋势图。

    • 访问日志列表中,查看符合检索条件的访问请求记录。例如,被CC攻击防护规则拦截的访问请求记录如下图所示。

      关于源站响应信息中的参数含义说明

      • Status:指源站返回给WAF的响应状态。如果返回“-”,表示没有响应(例如该请求被WAF拦截或源站响应超时)。
      • Upstream_ip:指该请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
      • Upstream_time:指源站响应WAF请求的时间。如果返回“-”,代表响应超时。
  7. 单击全量日志页面右上方的日志下载可为当前检索到的日志结果生成下载任务。下载任务生成完成后,在查看下载文件页签中即可将相应格式的日志文件下载到本地。
    说明
    单次最多支持导出2000万条日志。如果您需要导出的日志超过2000万条以上,建议您分多次任务进行导出。
    日志文件字段说明
    字段 字段名称 描述
    Time 访问时间 访问请求的发生时间,在所下载的日志文件中以UTC时间记录。
    Domain 访问域名 访问请求的域名。
    Source_IP 来源IP 访问的客户端来源IP。
    IP_City 来源IP所属地区 访问来源IP所属地区,中国大陆地区可精确到市级。
    IP_Country 来源IP所属国家 访问来源IP所属国家。
    Method 访问请求方法 访问的请求行中的请求类型。
    URL 访问请求URL 访问请求行中的所访问的服务器资源。
    Https 访问请求协议 访问请求行中的请求所使用的协议。
    Referer HTTP Referer字段 访问请求头部中带有的访问请求的来源URL信息。
    User-Agent HTTP User-Agent字段 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
    X-Forwarded-For HTTP X-Forwarded-For字段 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
    Cookie HTTP Cookie字段 访问请求头部中带有的访问来源客户端Cookie信息。
    Attack_Type 防护状态
    WAF对该访问请求的处理结果:
    • 0:表示未发现攻击
    • 1:表示触发Web应用攻击防护规则
    • 2:表示触发CC安全防护规则
    • 3:表示触发精准访问控制规则
    Status 源站响应状态码 源站返回给WAF的响应状态。如果返回“-”,表示没有响应(例如该请求被WAF拦截或源站响应超时)。
    Upstream_IP 源站响应IP 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
    Upstream_Time 源站响应时间 源站响应WAF请求的时间。如果返回“-”,代表响应超时。