Web应用防火墙WAF(Web Application Firewall)日志服务帮助您采集并存储接入WAF防护的网站域名的Web访问和攻击的防护日志,基于阿里云日志服务,输出查询分析、统计图表、报警服务、下游计算对接与投递等功能,帮助您专注于分析,远离琐碎的查询和整理工作。

适用对象

  • 对云上资产的主机、网络以及安全日志有存储合规需求的大型企业与机构,例如金融公司、政府类机构等。
  • 拥有自己的安全运营中心,需要收集安全告警等日志进行中央运营管理的企业,例如大型地产、电商、金融公司、政府类机构等。
  • 拥有较强技术能力,需要基于云上资产的日志进行深度分析,对告警进行自动化处理的企业,例如IT、游戏、金融公司等。
  • 对云上业务安全事件有溯源需求,需要定期输出安全周报、月报和年报,或者拥有三级以上等保合规需求的用户。

应用场景

  • 追踪Web攻击日志,溯源安全威胁。
  • 查看Web请求活动,了解请求状态与趋势。
  • 快速了解安全运营效果,及时反馈和处理异常。
  • 输出安全网络日志到自建数据与计算中心。

功能优势

  • 等保合规:存储网站六个月以上的访问日志,助力网站符合等保合规要求。
  • 配置灵活:
    • 轻松配置即可实现Web访问及攻击防护日志的采集。
    • 支持自定义日志存储的时长和容量,设置需要采集日志的网站。
    • 支持根据您的业务需求修改或者自定义符合业务或安全需求的报表模板,帮助您快速感知网站业务和安全状态。
  • 实时分析:依托阿里云日志服务产品,提供实时日志分析能力、开箱即用的报表中心与交互挖掘支持,从传统几十分钟级别到秒级别,让您对网站业务的各种Web攻击状况以及Web访问细节了如指掌。
  • 实时告警:支持基于特定指标定制监控与告警,确保在关键业务发生异常时能及时响应。
  • 生态体系:支持对接其他生态如实时计算、云存储、可视化等方案,进一步挖掘数据价值。

功能概览

功能 说明
WAF日志采集 开通WAF日志服务后,您可以为已接入WAF防护的域名开启日志采集。只有开启日志采集后,WAF才会采集并存储域名的相关日志数据,供您进行查询与分析。关于WAF日志数据包含的字段信息,请参见WAF日志字段

您可以修改默认日志存储设置,包括日志存储时长、要存储的日志字段类型、存储日志类型(全量日志、仅拦截日志)。具体操作,请参见修改日志设置

日志查询与分析 使用查询分析语句,对采集到的日志数据进行查询与分析。

查询分析语句由日志服务专用查询语句(Search)和SQL92标准分析语句(Analytics)组成,查询和分析语句间使用竖线(|)分隔。分析语句执行后,默认以表格形式展示分析结果,您还可以选择以折线图、柱状图、饼图等多种统计图表方式查看结果。

您可以基于查询分析语句创建告警。创建告警后,日志服务将定期检查查询与分析结果,并在检查结果满足预设条件时,向您发送告警通知,实现实时的服务状态监控。具体操作,请参见日志告警

日志分析仪表盘 仪表盘是日志服务提供的实时数据分析大盘。您可以在仪表盘查看多个基于查询与分析结果的统计图表。

WAF日志服务基于常见的业务及防护查询场景,为您预置了运营中心、访问中心、安全中心仪表盘,方便您无需输入查询与分析语句,仅通过修改查询时间,即可快速查询您关心的网站业务和安全数据。

您还可以使用订阅仪表盘功能,通过邮件或者钉钉群消息将仪表盘内容定时推送给指定对象。

管理日志存储空间 您可以定期查询日志存储空间的使用情况,并根据实际业务需要,升级存储空间容量或者清空已存储的日志。
集成WAF日志到Syslog系统 您可以使用Python Program将WAF日志集成到Syslog日志系统中,以实现合规、审计等要求,也方便您在安全操作中心统一管理所有相关日志。