开通日志服务后,您可以根据业务防护及分析需要,设置日志字段和存储类型,开启或关闭防护对象日志采集功能,修改日志存储时长,更有效的利用日志容量。您也可以实时查看日志容量,及时升级容量,避免日志数据无法写入专属日志库。本文介绍如何进行日志设置和日志容量管理。

前提条件

日志设置

设置日志字段和存储类型

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 日志服务页面,单击右上角的日志设置
  4. 字段设置页签,完成如下配置后,单击保存
    配置项 说明 相关操作
    自定义字段配置 设置WAF日志中要包含的日志字段。WAF日志字段包括:
    • 必选字段:不支持修改,表示WAF日志中必须包含这些字段。
    • 可选字段:支持修改,您可以根据需要配置要在WAF日志中包含的可选字段。

    关于WAF日志字段的具体说明,请参见日志字段说明
    • 启用可选字段

      可选字段区域,选中要启用的字段,并移动到右侧已选字段

      保存设置后,后续新增的WAF日志将包含本次选择的可选字段。

    • 移除可选字段

      已选字段区域,选中要移除的字段,并移动到左侧待选字段

      保存设置后,后续新增的WAF日志将不再包含本次移除的可选字段。
    存储类型 要存储的日志类型。可选项:
    • 全量日志:表示存储所有日志,包含WAF放行的正常请求和拦截的攻击请求的日志。
    • 拦截日志:表示只存储WAF拦截的攻击请求的日志。
    		无。
  5. 提示对话框,单击确定
    保存设置后,已开启日志采集的防护对象将按照已选择的日志字段来生成日志,并按照设置的存储类型保存日志。您可以在采集配置页签,为防护对象开启或关闭日志采集状态。具体操作,请参见设置防护对象的采集状态

设置防护对象的采集状态

只有为防护对象开启日志采集后,WAF才会采集并存储防护对象的日志数据,供您进行查询与分析。您可以按照如下操作,统一管理已添加到WAF的防护对象的采集状态。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 日志服务页面,单击右上角的日志设置
  4. 采集配置页签,定位到目标防护对象,打开或关闭日志采集状态开关。

修改日志存储时长

WAF日志存储时长默认为180天,您可以按照如下操作,修改日志存储时长。

  1. 登录日志服务控制台
  2. Project列表定位到要修改日志存储时长的Project,单击Project名称。
  3. 在Project详情页面,将鼠标悬停在logstore上,选择展开 > 修改
  4. Logstore属性面板,单击右上角的修改
  5. 修改数据保存时间,单击右上角的保存

日志容量管理

包年包月实例开启日志服务后,WAF将根据您选择的日志存储规格分配日志容量,您可以在日志服务页面查看日志容量使用情况。
说明 按量付费实例根据日志服务的实际用量收费,不涉及该功能。
  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。
  2. 在左侧导航栏,选择安全运营 > 日志服务
  3. 管理日志存储空间。
    • 查看日志存储空间:在日志服务页面右上方,查看存储使用量的百分比、已使用存储量与总量的比例。
      重要 当存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满。请您在收到提示后及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。
    • 升级日志存储容量:单击日志服务页面右上角的升级容量,选择更大的日志存储容量规格,并完成购买。