阿里云Web应用防火墙(WAF)的网站Web访问日志(包含攻击防护日志)与日志服务联动,为您提供WAF日志实时分析与报表中心功能。

WAF日志实时分析可以近实时地收集并存储网站访问日志,并基于日志服务,输出查询分析、报表、报警、下游计算对接与投递等能力,帮助您专注于分析,远离琐碎的查询和整理工作。
日志实时分析

通过以下视频介绍,快速学习了解WAF日志实时分析的功能和操作。

适用对象

  • 对云上资产的主机、网络以及安全日志有存储合规需求的大型企业与机构,如金融公司、政府类机构等。
  • 拥有自己的安全运营中心(SOC),需要收集安全告警等日志进行中央运营管理的企业,如大型地产、电商、金融公司、政府类机构等。
  • 拥有较强技术能力,需要基于云上资产的日志进行深度分析,对告警进行自动化处理的企业,如IT、游戏、金融公司等。
  • 对云上业务安全事件有溯源需求,需要定期输出安全周报、月报和年报,或者拥有三级以上等保合规需求的所有用户。

功能优势

WAF日志实时查询分析服务具有以下功能优势:
  • 等保合规:存储网站六个月以上的访问日志,助力网站符合等保合规要求。
  • 配置灵活:轻松配置即可实现Web访问与攻击日志的实时采集。同时,支持自定义日志存储的时长和容量,自由选择日志采集的网站。您还可以根据自己的业务需求修改或者重新自定义符合自己业务或安全需求的报表模板,帮助您快速感知网站业务和安全状态。
  • 实时分析:依托日志服务产品,提供实时日志分析能力、开箱即用的报表中心与交互挖掘支持,从传统几十分钟级别到秒级别,让您对网站业务的各种Web攻击状况以及客户访问细节了如指掌。
  • 实时告警:支持基于特定指标定制准实时的监测与告警,确保在关键业务发生异常时能第一时间响应。
  • 生态体系:支持对接其他生态如实时计算、云存储、可视化等方案,进一步挖掘数据价值。

使用说明

要使用WAF日志实时分析,必须满足以下前提条件:
  • 开通日志服务
  • 开通Web应用防火墙(中国大陆任意版本或者海外地区企业版和旗舰版),并购买日志分析功能模块。
    说明 按量付费模式Web应用防火墙暂不支持该功能。
WAF所存储的日志库属于专属日志库,存在以下特性:
  • 用户无法通过API、SDK等方式写入数据,或者修改日志库的属性(例如存储周期等)。
    说明 支持其他日志库功能(例如查询、统计、报警、流式消费等),且与一般日志库无差别。
  • 日志服务不对专属日志库计费,但日志服务本身需处于可用状态(不超期欠费)。
  • 内置报表样式可能会发生更新和升级。

功能概览

依托于阿里云日志服务强大的功能,为网站域名开通WAF日志服务后,您可以对所采集的网站访问日志和攻击防护日志进行深入的分析、以可视化的方式展示、根据所设定的阈值实现监控报警等。

功能项 说明 更多信息
查询和分析

对采集到的日志数据进行实时查询分析,查询分析语句由查询语句(Search)和分析语句(Analytics)两个部分组成,查询和分析语句之间通过|进行分割。

例如,您可以通过以下查询分析语句查询域名的访问量:

* | select time_series(__time__,'15m','%H:%i','0') as time,COUNT_if(block_action='waf') as "wafmodule",COUNT_if(block_action='acl') as 
"aclmodule",COUNT_if(block_action='tmd') as "httpfloodmodule" GROUP by time order by time

更多查询语句示例,请参见常用查询语句示例

查询与分析
分析图表 查询分析语句中包含分析语法,语句执行后默认按表格方式展示分析结果。同时,您还可以选择折线图、柱状图、饼图等多种图形方式进行展示。 分析图表
仪表盘

仪表盘是日志服务提供的实时数据分析大盘。您将常用的查询语句以图表形式展示后,可将分析图表保存到仪表盘中。

同时,新BGP高防的全量日志功能默认为您提供DDoS访问中心和DDoS运营中心两个仪表盘。

您还可以通过订阅仪表盘功能,通过邮件或者钉钉群消息将仪表盘内容定时推送给指定对象。

仪表盘
监控告警 您可以根据仪表盘中的查询图表设置告警,实现实时的服务状态监控。 告警

应用场景

  • 追踪Web攻击日志,溯源安全威胁。
    追踪web攻击日志
  • 实时查看Web请求活动,洞察状态与趋势。
    查看web请求活动
  • 快速了解安全运营效率,及时反馈处理。
    安全运营小林
  • 输出安全网络日志到自建数据与计算中心。
    输出日志

常用查询语句示例

  • 拦截类型查询
    * | select count(*) as times,host,block_action group by host,block_action order by times desc
  • QPS查询
    * | select time_series(__time__,'15m','%H:%i','0') as time,count(*)/900 as QPS group by time order by time
  • 被攻击域名查询
    * and acl_blocks:1 | select count(*) as times,host group by host order by times desc
  • 被攻击URL查询
    * and acl_blocks:1 | select count(*)as times,host,request_path group by host,request_path order by times
  • 请求详情
    * | select date_format(date_trunc('second',__time__),'%H:%i:%s') as time,host,request_path,request_method,status,upstream_status,querystring limit 10
  • Web攻击类型查询
    * | SELECT web_attack_type,times,concat(try_cast(round((times*100.0/sum(times) over()),2)as varchar),'%') as pre from (SELECT COUNT(*) as times,web_attack_type
     from log GROUP by host) ORDER by times desc limit 10