您可以在Web应用防火墙管理控制台为指定网站域名开启WAF日志采集功能。

前提条件

  • 已购买开通Web应用防火墙,并且已将您的网站域名接入WAF进行防护。
  • 已开通日志服务产品。

背景信息

日志服务支持实时采集阿里云Web应用防火墙已防护的网站访问日志、攻击防护日志,并支持对采集到的日志数据进行实时检索与分析,以仪表盘形式展示查询结果。您可以通过日志对网站的访问和攻击行为进行即时分析研究、协助安全管理人员制定防护策略。

操作步骤

  1. 登录Web应用防火墙管理控制台
  2. 定位到市场管理 > 应用管理,单击日志服务实时查询分析。
    说明 如果您是第一次配置WAF日志采集功能,单击 授权,根据页面提示完成授权操作,授权WAF将所有记录的日志分发到您专属的Logstore中。
  3. 选择您需要开启WAF日志采集功能的网站域名,单击右侧的状态开启日志采集功能。

    至此,您已成功为该网站域名开启WAF日志采集功能。日志服务会在您的账号下自动创建一个专属日志库和专属Logstore,WAF自动将所有开启日志采集功能的网站域名的日志实时导入该专属日志库中。专属日志库和专属Logstore等默认配置如默认配置所示。

    表 1. 默认配置
    默认配置项 配置内容
    Project 默认为您创建Project。Project名称根据您的WAF实例的地域决定。
    • 大陆地域的WAF实例:waf-project-阿里云账户ID-cn-hangzhou
    • 其他地域的WAF实例:waf-project-阿里云账户ID-ap-southeast-1
    Logstore 默认为您创建Logstore,waf-logstore

    WAF日志采集功能产生的所有日志都将保存该Logstore中。

    地域
    • WAF实例地域为中国大陆地区的,默认Project保存在杭州地域。
    • WAF实例地域为其他地区的,默认Project保存在新加坡地域。
    Shard 默认为您创建2个Shard,并开启自动分裂Shard 功能。
    仪表盘 默认为您创建三个仪表盘,分别为:
    • 访问中心
    • 运营中心
    • 安全中心
    关于仪表盘的更多信息,查看WAF日志服务-日志报表
    限制与说明
    • 专属日志库不支持写入其他数据。
      WAF日志将被存放在专属日志库中,该日志库不支持通过包括API/SDK在内的任何方式写入其他数据。
      说明 专属日志库在查询、统计、报警、流式消费等功能上均无特殊限制。
    • 不支持修改专属日志库的存储周期等基本设置。
    • 专属日志库不另行收费。
      日志服务对专属日志库不进行任何收费,但您账号中的日志服务产品需处于正常使用状态。
      说明 当您的日志服务产品出现欠费时,WAF日志采集功能将暂停工作,及时补缴欠款后采集功能自动恢复。
    • 请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能,专属日志库中的索引与默认报表也会自动更新。
    • 如果您的子账号需要使用WAF日志查询分析功能,需要为其授予日志服务相关权限。具体操作方式,参考为子账号授予日志服务日志查询分析功能权限