为网站域名开启日志采集后,您可以在日志服务页面查询和分析网站的日志数据。本文介绍了通过WAF日志服务页面查询和分析日志的操作方法。

前提条件

已为接入WAF防护的网站域名开启日志采集。相关操作,请参见步骤2:开启日志采集

只有开启日志采集后,WAF才会采集与网站域名有关的日志数据,供您进行查询与分析。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,选择日志管理 > 日志服务
  4. 日志服务页面上方,选择要操作的网站域名。
    注意 域名必须已经开启日志采集(即状态开关已打开),否则WAF不会采集其日志数据,也不提供查询与分析服务。
    网站域名
  5. 日志查询页签,通过查询与分析语句,对WAF日志数据进行查询与分析。查询分析步骤
    具体步骤如下:
    1. 通过时间选择器(图示①),修改日志查询时间范围。
    2. 在语句输入框(图示②),输入查询语句。
      查询语句采用阿里云日志服务专用语法,关于该语法的详细介绍,请参见查询语法。查询语句中使用WAF日志包含的字段作为查询字段,关于支持使用的查询字段,请参见WAF日志字段
      如果您不了解日志查询语法,推荐您使用高级搜索。您只需在语句输入框上方展开高级搜索,设置搜索条件并单击搜索,语句输入框即可自动生成与搜索条件匹配的日志查询语句。高级搜索下表描述了高级搜索支持设置的搜索条件。
      搜索条件 说明
      IP 发起请求的客户端的IP地址。
      Trace ID WAF为客户端请求生成的唯一标识。WAF向客户端返回拦截页面或者滑块验证响应时会提供该ID,用于问题分析与故障排查。
      Rule ID 请求命中的WAF防护规则ID。您可以在安全报表或者系统管理 > 防护规则组页面,获取规则ID信息。
      服务器响应状态码 源站服务器响应WAF回源请求的HTTP状态码。
      WAF返回客户端响应码 WAF响应客户端请求的HTTP状态码。
      拦截规则 请求命中的WAF防护规则的类型。关于WAF防护模块的介绍及不同模块防护规则的配置方法,请参见概述
    3. 如果您需要对查询结果进行计算和统计分析,可以在语句输入框(图示②)已输入的查询语句后,输入分析语句;如果您只需要查询满足条件的日志数据,可以跳过该步骤。
      分析语句和查询语句间使用竖线(|)分隔。分析语句采用标准的SQL92语法,关于分析语句的更多介绍,请参见分析概述
    4. 单击查询/分析(图示③)。
      查询与分析结果(即命中查询条件的WAF日志数据)将会显示在页面下方,包含日志分布直方图、原始日志统计图表。您可以基于查询结果进行快速分析、生成统计图表、设置告警等,相关操作,请参见操作查询与分析结果创建告警
    更多关于日志查询与分析的案例,请参见查询与分析案例
  6. 日志分析页签,查看WAF基于日志数据为您整合的日志分析仪表盘。
    日志分析仪表盘是WAF基于日志数据,预先设置的一系列图形报表,方便您直接查询网站业务及安全防护的相关数据。日志分析仪表盘包含:
    • 运营中心:展示网站的业务运营指标,包含请求趋势、攻击概况等。
    • 访问中心:展示网站的访问指标、客户端分布、流量与性能等。
    • 安全中心:展示网站的被攻击指标、趋势、来源分布等。

    您只需设置查询时间,即可直接查询相关仪表盘,并可以创建订阅,通过邮件等方式定期接收仪表盘数据报表。关于日志分析仪表盘包含的具体图表数据以及如何创建订阅,请参见查看日志分析仪表盘

更多内容

如果您的RAM用户需要使用WAF日志查询与分析功能,您需要为其授予日志服务相关权限。具体操作,请参见为RAM用户授予日志查询分析权限

如果您需要了解更多关于WAF日志查询与分析的应用,请参见日志应用教程

如果您需要修改WAF日志存储规则、存储容量等设置,请参见日志存储管理