Web应用防火墙(Web Application Firewall,简称WAF)日志服务通过阿里云日志服务实时地采集已接入WAF防护的网站业务的全量日志,并对采集到的日志数据进行查询与分析,以丰富的仪表盘形式展示查询结果,满足等保合规要求和网站业务的防护及运营需求。本文介绍如何开通和使用WAF日志服务。
背景信息
WAF日志服务只会存储已开启日志采集的网站相关日志。如果网站未开启日志采集,WAF不会存储其日志数据。
网站域名开启日志采集后,WAF将按照下表描述的默认配置,自动存储网站域名的日志数据。
日志存储配置 | 默认配置 | 是否支持修改默认配置 |
日志存储时长 | 日志存储时长为180天。 | 支持修改。可选范围:15~360天。 重要 仅包年包月WAF实例支持修改日志存储时长。 |
自定义字段配置 | 默认包含全部必选字段和部分可选字段。 | 支持修改。可修改WAF日志中的可选字段。 |
存储类型 | 默认存储网站域名的全量日志。 | 支持修改。可修改为仅存储拦截日志。 |
WAF支持修改以上默认配置。具体操作,请参见修改日志设置。
前提条件
步骤一:开通WAF日志服务
开通包年包月实例的WAF日志服务
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在日志服务页面,单击立即升级,并按照页面提示完成升级。
说明如果您在购买WAF实例时已经开启了日志服务,则无需进行升级操作,请跳过该步骤。
升级操作步骤:
在变配页面,开启日志服务,并根据您的业务需要选择日志存储容量。
单击去支付,并完成支付。
授权WAF访问相关云资源。具体操作,请参见创建服务关联角色。
开通按量付费实例的WAF日志服务
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在日志服务页面,单击立即升级,并参照以下步骤完成升级。
在修改套餐页面,定位到系统规格区域,设置日志存储容量(单位:TB)。
日志存储容量大于0,即表示开通日志服务。
单击确认修改。
授权WAF访问相关云资源。具体操作,请参见创建服务关联角色。
开通WAF日志服务后,阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库,完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置,请参见WAF专属日志项目及日志库。
步骤二:使用WAF日志服务
登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
从域名下拉列表中选择要开启日志采集的网站域名,打开右侧的状态开关,开启该网站域名的日志采集功能。
域名下拉列表(图示①)仅包含已接入WAF防护的网站域名。如果您还未将网站域名接入WAF防护,请先完成网站接入。具体操作,请参见使用教程。
在日志查询页签,通过查询与分析语句,对WAF日志数据进行查询与分析。具体操作,请参见日志查询。
更多关于日志查询与分析的案例,请参见查询与分析案例。
在日志分析页签,查看WAF基于日志数据为您整合的日志分析仪表盘。
日志分析仪表盘是WAF基于日志数据,预先设置的一系列图形报表,方便您直接查询网站业务及安全防护的相关数据。日志分析仪表盘包含:
运营中心:展示网站的业务运营指标,包含请求趋势、攻击概况等。
访问中心:展示网站的访问指标、客户端分布、流量与性能等。
安全中心:展示网站的被攻击指标、趋势、来源分布等。
您只需设置查询时间,即可直接查询相关仪表盘,并可以创建订阅,通过邮件等方式定期接收仪表盘数据报表。关于日志分析仪表盘包含的具体图表数据以及如何创建订阅,请参见查看日志分析仪表盘。
WAF专属日志项目及日志库
下表描述了阿里云日志服务自动创建的WAF专属日志项目(Project)及日志库(Logstore)的默认配置。
请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能,专属日志库中的索引与默认报表也会自动更新。
资源类型 | 说明 |
Project | 日志服务自动为WAF创建一个日志项目(Project)。日志项目的具体信息如下:
您可以在日志服务控制台的首页查询WAF专属日志项目,单击项目名称可以进入项目。关于Project的更多介绍,请参见管理Project。 |
Logstore | WAF日志项目下默认已创建一个日志库(Logstore)。WAF日志库名称为 WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。 |
Shard | WAF日志库默认包含两个分区(Shard),并开启了自动分裂分区功能。您可以通过Logstore基本信息查询分区属性。 关于Shard的更多介绍,请参见管理Shard。 |
仪表盘 | WAF日志项目下默认包含三个预置的仪表盘,分别为运营中心、访问中心、安全中心。您可以在WAF日志项目中查询WAF日志仪表盘。 关于WAF日志仪表盘的更多介绍,请参见查看日志分析仪表盘。 |
更多内容
如果您的RAM用户需要使用WAF日志查询与分析功能,您需要为其授予日志服务相关权限。具体操作,请参见为RAM用户授予日志查询分析权限。
如果您需要了解更多关于WAF日志查询与分析的应用,请参见日志应用教程。
如果您需要修改WAF日志存储规则、存储容量等设置,请参见日志存储管理。