WAF日志服务通过阿里云日志服务准实时地采集已接入WAF防护的网站业务的全量日志,支持对采集到的日志数据进行查询与分析、以丰富的仪表盘形式展示查询结果,满足等保合规要求和网站业务的防护及运营需求。本文介绍了首次开通WAF日志服务的操作方法。

前提条件

  • 已开通高级版及以上规格的WAF包年包月实例,或者已开通WAF按量计费实例

    相关操作,请参见开通Web应用防火墙

  • 已将网站域名接入WAF进行防护。

    如果您还没有将网站域名接入WAF进行防护,即使开通WAF日志服务,也不会产生日志数据,建议您先将网站域名接入WAF防护,再开通WAF日志服务。关于网站接入的相关操作,请参见使用教程

  • 已开通阿里云日志服务。

    首次登录日志服务控制台时,您可以根据页面提示开通日志服务。

包年包月实例

如果您使用WAF包年包月实例,可以参照以下步骤,开通WAF日志服务:

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地非中国内地)。
  3. 在左侧导航栏,选择日志管理 > 日志服务
  4. 日志服务页面,单击立即升级,并按照页面提示完成升级。
    说明 如果您在购买WAF实例时已经开启了日志服务(如下图所示),则无需进行升级操作,请跳过该步骤。
    日志服务

    升级操作步骤:

    1. 变配页面,开启日志服务,并根据您的业务需要选择日志存储容量
      关于日志服务相关参数的具体说明,请参见开通Web应用防火墙
    2. 单击去支付,并完成支付。
  5. 授权WAF访问相关云服务。
    WAF需要访问阿里云日志服务,才能够存储WAF日志,并向您提供日志查询与分析服务。因此,在使用WAF日志服务前,您必须授权WAF访问相关云服务。
    注意 使用WAF过程中,您只需完成一次云服务访问授权。完成授权后,WAF将获得服务关联角色(AliyunServiceRoleForWAF)权限,用于访问其他的云服务资源。如果WAF已经拥有该角色权限,则您无需重复授权。您可以在RAM控制台身份管理 > 角色页面,查询WAF服务关联角色。更多信息,请参见授权WAF访问云服务

    授权操作步骤:

    1. 日志服务页面,单击立即授权
    2. 提示对话框,单击确定

开通WAF日志服务后,阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库,完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置,请参见WAF专属日志项目及日志库

按量计费实例

如果您使用WAF按量计费实例,可以参照以下步骤,开通WAF日志服务:

  1. 登录Web应用防火墙控制台
  2. 在左侧导航栏,选择日志管理 > 日志服务
  3. 日志服务页面,单击立即升级,并参照以下步骤完成升级:
    1. 修改套餐页面,定位到系统规格区域,设置日志存储容量(单位:TB)。
      日志存储容量大于0,即表示开通日志服务。日志存储容量
    2. 单击确认修改
  4. 授权WAF访问相关云服务。
    WAF需要访问阿里云日志服务,才能够存储WAF日志,并向您提供日志查询与分析服务。因此,在使用WAF日志服务前,您必须授权WAF访问相关云服务。
    注意 使用WAF过程中,您只需完成一次云服务访问授权。完成授权后,WAF将获得服务关联角色(AliyunServiceRoleForWAF)权限,用于访问其他的云服务资源。如果WAF已经拥有该角色权限,则您无需重复授权。您可以在RAM控制台身份管理 > 角色页面,查询WAF服务关联角色。更多信息,请参见授权WAF访问云服务

    授权操作步骤:

    1. 日志服务页面,单击立即授权
    2. 提示对话框,单击确定

开通WAF日志服务后,阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库,完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置,请参见WAF专属日志项目及日志库

后续步骤

开通WAF日志服务后,您只需为已接入WAF防护的网站域名开启日志采集,WAF就会存储该域名的日志数据,并为您提供查询与分析服务。关于开启日志采集的具体操作,请参见步骤2:开启日志采集

WAF专属日志项目及日志库

下表描述了阿里云日志服务自动创建的WAF专属日志项目(Project)及日志库(Logstore)的默认配置。

注意 请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能,专属日志库中的索引与默认报表也会自动更新。
资源类型 说明
Project 日志服务自动为WAF创建一个日志项目(Project)。日志项目的具体信息如下:
  • 中国内地WAF实例:日志项目名称为waf-project-阿里云账号ID-cn-hangzhou,所属地域为华东1(杭州)。
  • 非中国内地WAF实例:日志项目名称为waf-project-阿里云账号ID-ap-southeast-1,所属地域为新加坡。
您可以在日志服务控制台的首页查询WAF专属日志项目,单击项目名称可以进入项目。WAF日志项目

关于Project的更多介绍,请参见管理Project
Logstore WAF日志项目下默认已创建一个日志库(Logstore)。WAF日志库名称为waf-logstore。WAF采集到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。WAF日志库

WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。

日志服务不会对WAF日志库收费,但是只有当阿里云账号下的日志服务产品处于正常使用状态时,WAF日志库才可以正常使用。
说明 当您的日志服务产品出现欠费时,WAF日志采集功能将暂停工作。当您及时补缴欠款后,日志采集功能将自动恢复。

关于Logstore的更多介绍,请参见管理Logstore
Shard WAF日志库默认包含两个分区(Shard),并开启了自动分裂分区功能。您可以通过Logstore基本信息查询分区属性。分区(Shard)

关于Shard的更多介绍,请参见管理Shard
仪表盘 WAF日志项目下默认包含三个预置的仪表盘,分别为运营中心访问中心安全中心。 您可以在WAF日志项目中查询WAF日志仪表盘。
关于WAF日志仪表盘的更多介绍,请参见查看日志分析仪表盘仪表盘