您可以在Web应用防火墙(WAF)管理控制台为指定网站域名开启WAF日志采集。网站域名开启WAF日志采集后,该网站相关的全部日志数据将会自动存储到WAF专属的日志库中,方便您对日志数据进行实时分析和查询。

前提条件

  • 已购买开通Web应用防火墙,并且已将您的网站域名接入WAF进行防护。
  • 已开通日志服务产品。

背景信息

日志服务支持实时采集阿里云Web应用防火墙已防护的网站访问日志、攻击防护日志,并支持对采集到的日志数据进行实时检索与分析,以仪表盘形式展示查询结果。您可以通过日志对网站的访问和攻击行为进行即时分析研究、协助安全管理人员制定防护策略。

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击日志管理 > 日志服务
  4. 可选:如果您是第一次配置WAF日志采集功能,单击授权,根据页面提示完成授权操作,授权WAF将所有记录的日志分发到您专属的Logstore中。
  5. 选择您需要开启WAF日志采集功能的网站域名,单击右侧的状态开启日志采集功能。日志分析,开启
    至此,您已成功为该网站域名开启WAF日志采集功能。日志服务会在您的账号下自动创建一个专属日志库和专属Logstore,WAF自动将所有开启日志采集功能的网站域名的日志实时导入该专属日志库中。

WAF专属日志库和专属Logstore

下表描述了专属日志库和专属Logstore等默认配置。

默认配置项 配置内容
Project 默认为您创建Project。Project名称由您的WAF实例的地域决定。
  • 中国内地WAF实例:waf-project-阿里云账户ID-cn-hangzhou
  • 海外地区WAF实例:waf-project-阿里云账户ID-ap-southeast-1
Logstore 默认为您创建Logstore,waf-logstore

WAF日志采集功能产生的所有日志都将保存到该Logstore中。

地域
  • WAF实例地域为中国内地时,默认Project保存在杭州地域。
  • WAF实例地域为海外地区时,默认Project保存在新加坡地域。
Shard 默认为您创建2个Shard,并开启自动分裂Shard功能。更多信息,请参见管理Shard
仪表盘 默认为您创建三个仪表盘,分别为:
  • 访问中心
  • 运营中心
  • 安全中心

关于仪表盘的更多信息,请参见WAF日志服务-日志报表

限制与说明
  • 专属日志库不支持写入其他数据。
    WAF日志将被存放在专属日志库中,该日志库不支持通过API、SDK等任何方式写入其他数据。
    说明 专属日志库在查询、统计、报警、流式消费等功能上均无特殊限制。
  • 专属日志库不另行收费。
    日志服务对专属日志库不进行任何收费,但您账号中的日志服务产品需处于正常使用状态。
    说明 当您的日志服务产品出现欠费时,WAF日志采集功能将暂停工作,及时补缴欠款后采集功能自动恢复。
  • 请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能,专属日志库中的索引与默认报表也会自动更新。
  • 如果您的子账号需要使用WAF日志查询分析功能,需要为其授予日志服务相关权限。具体操作方式,请参见为子账号授予日志服务日志查询分析功能权限