Web应用防火墙(Web Application Firewall,简称WAF)日志服务通过阿里云日志服务实时地采集已接入WAF防护的网站业务的全量日志,并对采集到的日志数据进行查询与分析,以丰富的仪表盘形式展示查询结果,满足等保合规要求和网站业务的防护及运营需求。本文介绍如何开通和使用WAF日志服务。

背景信息

WAF日志服务只会存储已开启日志采集的网站相关日志。如果网站未开启日志采集,WAF不会存储其日志数据。

网站域名开启日志采集后,WAF将按照下表描述的默认配置,自动存储网站域名的日志数据。
日志存储配置 默认配置 是否支持修改默认配置
日志存储时长 日志存储时长为180天。 支持修改。可选范围:15~360天。
注意 仅包年包月WAF实例支持修改日志存储时长。
自定义字段配置 默认包含全部必选字段和部分可选字段。 支持修改。可修改WAF日志中的可选字段。
存储类型 默认存储网站域名的全量日志 支持修改。可修改为仅存储拦截日志。
WAF支持修改以上默认配置。具体操作,请参见修改日志设置

前提条件

  • 已开通高级版企业版旗舰版独享版包年包月WAF实例,或者已开通按量付费WAF实例。具体操作,请参见开通包年包月WAF开通按量付费WAF
  • 已将网站域名接入WAF进行防护。

    如果您还没有将网站域名接入WAF防护,即使开通WAF日志服务,也不会产生日志数据。建议您先将网站域名接入WAF防护,再开通WAF日志服务。关于网站接入的具体操作,请参见使用教程

  • 已开通阿里云日志服务。

    首次登录日志服务控制台时,您可以根据页面提示开通日志服务。

    仅阿里云账号下的日志服务处于正常使用状态时,WAF日志库才可以正常使用。
    说明 当阿里云日志服务出现欠费时,WAF日志采集功能将暂停工作。当您及时补缴欠款后,日志采集功能将自动恢复。

步骤一:开通WAF日志服务

开通包年包月实例的WAF日志服务

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 日志服务页面,单击立即升级,并按照页面提示完成升级。
    说明 如果您在购买WAF实例时已经开启了日志服务,则无需进行升级操作,请跳过该步骤。

    升级操作步骤:

    1. 变配页面,开启日志服务,并根据您的业务需要选择日志存储容量。关于日志服务相关参数的具体说明,请参见开通包年包月WAF
    2. 单击去支付,并完成支付。
  4. 授权WAF访问相关云资源。具体操作,请参见创建服务关联角色

开通按量付费实例的WAF日志服务

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 日志服务页面,单击立即升级,并参照以下步骤完成升级。
    1. 修改套餐页面,定位到系统规格区域,设置日志存储容量(单位:TB)。
      日志存储容量大于0,即表示开通日志服务。
    2. 单击确认修改
  4. 授权WAF访问相关云资源。具体操作,请参见创建服务关联角色

开通WAF日志服务后,阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库,完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置,请参见WAF专属日志项目及日志库

步骤二:使用WAF日志服务

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 从域名下拉列表中选择要开启日志采集的网站域名,打开右侧的状态开关,开启该网站域名的日志采集功能。开启日志采集
    域名下拉列表(图示①)仅包含已接入WAF防护的网站域名。如果您还未将网站域名接入WAF防护,请先完成网站接入。具体操作,请参见使用教程
  4. 日志查询页签,通过查询与分析语句,对WAF日志数据进行查询与分析。具体操作,请参见步骤4
    更多关于日志查询与分析的案例,请参见查询与分析案例
  5. 日志分析页签,查看WAF基于日志数据为您整合的日志分析仪表盘。
    日志分析仪表盘是WAF基于日志数据,预先设置的一系列图形报表,方便您直接查询网站业务及安全防护的相关数据。日志分析仪表盘包含:
    • 运营中心:展示网站的业务运营指标,包含请求趋势、攻击概况等。
    • 访问中心:展示网站的访问指标、客户端分布、流量与性能等。
    • 安全中心:展示网站的被攻击指标、趋势、来源分布等。

    您只需设置查询时间,即可直接查询相关仪表盘,并可以创建订阅,通过邮件等方式定期接收仪表盘数据报表。关于日志分析仪表盘包含的具体图表数据以及如何创建订阅,请参见查看日志分析仪表盘

WAF专属日志项目及日志库

下表描述了阿里云日志服务自动创建的WAF专属日志项目(Project)及日志库(Logstore)的默认配置。

注意 请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能,专属日志库中的索引与默认报表也会自动更新。
资源类型 说明
Project 日志服务自动为WAF创建一个日志项目(Project)。日志项目的具体信息如下:
  • 中国内地WAF实例:日志项目名称为waf-project-阿里云账号ID-cn-hangzhou,所属地域为华东1(杭州)。
  • 非中国内地WAF实例:日志项目名称为waf-project-阿里云账号ID-ap-southeast-1,所属地域为新加坡。

您可以在日志服务控制台的首页查询WAF专属日志项目,单击项目名称可以进入项目。关于Project的更多介绍,请参见管理Project

Logstore WAF日志项目下默认已创建一个日志库(Logstore)。WAF日志库名称为waf-logstore。WAF采集到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。关于Logstore的更多介绍,请参见管理Logstore

WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。

Shard WAF日志库默认包含两个分区(Shard),并开启了自动分裂分区功能。您可以通过Logstore基本信息查询分区属性。

关于Shard的更多介绍,请参见管理Shard

仪表盘 WAF日志项目下默认包含三个预置的仪表盘,分别为运营中心访问中心安全中心。您可以在WAF日志项目中查询WAF日志仪表盘。

关于WAF日志仪表盘的更多介绍,请参见查看日志分析仪表盘

更多内容