Web应用防火墙(Web Application Firewall,简称WAF)日志服务通过阿里云日志服务实时地采集已接入WAF防护的网站业务的全量日志,并对采集到的日志数据进行查询与分析,以丰富的仪表盘形式展示查询结果,满足等保合规要求和网站业务的防护及运营需求。本文介绍如何开通和使用WAF日志服务。
背景信息
WAF日志服务只会存储已开启日志采集的网站相关日志。如果网站未开启日志采集,WAF不会存储其日志数据。
| 日志存储配置 | 默认配置 | 是否支持修改默认配置 |
|---|---|---|
| 日志存储时长 | 日志存储时长为180天。 | 支持修改。可选范围:15~360天。
注意 仅包年包月WAF实例支持修改日志存储时长。
|
| 自定义字段配置 | 默认包含全部必选字段和部分可选字段。 | 支持修改。可修改WAF日志中的可选字段。 |
| 存储类型 | 默认存储网站域名的全量日志 | 支持修改。可修改为仅存储拦截日志。 |
前提条件
- 已开通高级版、企业版、旗舰版或独享版包年包月WAF实例,或者已开通按量付费WAF实例。具体操作,请参见开通包年包月WAF、开通按量付费WAF。
- 已将网站域名接入WAF进行防护。
如果您还没有将网站域名接入WAF防护,即使开通WAF日志服务,也不会产生日志数据。建议您先将网站域名接入WAF防护,再开通WAF日志服务。关于网站接入的具体操作,请参见使用教程。
- 已开通阿里云日志服务。
首次登录日志服务控制台时,您可以根据页面提示开通日志服务。
仅阿里云账号下的日志服务处于正常使用状态时,WAF日志库才可以正常使用。说明 当阿里云日志服务出现欠费时,WAF日志采集功能将暂停工作。当您及时补缴欠款后,日志采集功能将自动恢复。
步骤一:开通WAF日志服务
开通包年包月实例的WAF日志服务
开通按量付费实例的WAF日志服务
- 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
- 在左侧导航栏,选择。
- 在日志服务页面,单击立即升级,并参照以下步骤完成升级。
- 授权WAF访问相关云资源。具体操作,请参见创建服务关联角色。
开通WAF日志服务后,阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库,完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置,请参见WAF专属日志项目及日志库。
步骤二:使用WAF日志服务
- 从域名下拉列表中选择要开启日志采集的网站域名,打开右侧的状态开关,开启该网站域名的日志采集功能。
域名下拉列表(图示①)仅包含已接入WAF防护的网站域名。如果您还未将网站域名接入WAF防护,请先完成网站接入。具体操作,请参见使用教程。
WAF专属日志项目及日志库
下表描述了阿里云日志服务自动创建的WAF专属日志项目(Project)及日志库(Logstore)的默认配置。
| 资源类型 | 说明 |
|---|---|
| Project | 日志服务自动为WAF创建一个日志项目(Project)。日志项目的具体信息如下:
您可以在日志服务控制台的首页查询WAF专属日志项目,单击项目名称可以进入项目。关于Project的更多介绍,请参见管理Project。 |
| Logstore | WAF日志项目下默认已创建一个日志库(Logstore)。WAF日志库名称为waf-logstore。WAF采集到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。关于Logstore的更多介绍,请参见管理Logstore。
WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。 |
| Shard | WAF日志库默认包含两个分区(Shard),并开启了自动分裂分区功能。您可以通过Logstore基本信息查询分区属性。
关于Shard的更多介绍,请参见管理Shard。 |
| 仪表盘 | WAF日志项目下默认包含三个预置的仪表盘,分别为运营中心、访问中心、安全中心。您可以在WAF日志项目中查询WAF日志仪表盘。
关于WAF日志仪表盘的更多介绍,请参见查看日志分析仪表盘。 |
更多内容
- 如果您的RAM用户需要使用WAF日志查询与分析功能,您需要为其授予日志服务相关权限。具体操作,请参见为RAM用户授予日志查询分析权限。
- 如果您需要了解更多关于WAF日志查询与分析的应用,请参见日志应用教程。
- 如果您需要修改WAF日志存储规则、存储容量等设置,请参见日志存储管理。