如何快速开通和使用WAF日志服务_日志服务(SLS)-阿里云帮助中心

Web应用防火墙（Web Application Firewall，简称WAF）日志服务通过阿里云日志服务实时地采集已接入WAF防护的网站业务的全量日志，并对采集到的日志数据进行查询与分析，以丰富的仪表盘形式展示查询结果，满足等保合规要求和网站业务的防护及运营需求。本文介绍如何开通和使用WAF日志服务。

背景信息

WAF日志服务只会存储已开启日志采集的网站相关日志。如果网站未开启日志采集，WAF不会存储其日志数据。

网站域名开启日志采集后，WAF将按照下表描述的默认配置，自动存储网站域名的日志数据。

日志存储配置	默认配置	是否支持修改默认配置
日志存储时长	日志存储时长为180天。	支持修改。可选范围：15~360天。重要仅包年包月WAF实例支持修改日志存储时长。
自定义字段配置	默认包含全部必选字段和部分可选字段。	支持修改。可修改WAF日志中的可选字段。
存储类型	默认存储网站域名的全量日志。	支持修改。可修改为仅存储拦截日志。

WAF支持修改以上默认配置。具体操作，请参见修改日志设置。

前提条件

已开通高级版、企业版、旗舰版或独享版包年包月WAF实例，或者已开通按量付费WAF实例。
已将网站域名接入WAF进行防护。
如果您还没有将网站域名接入WAF防护，即使开通WAF日志服务，也不会产生日志数据。建议您先将网站域名接入WAF防护，再开通WAF日志服务。关于网站接入的具体操作，请参见使用教程。
已开通阿里云日志服务。
首次登录日志服务控制台时，您可以根据页面提示开通日志服务。
仅阿里云账号下的日志服务处于正常使用状态时，WAF日志库才可以正常使用。
说明
当阿里云日志服务出现欠费时，WAF日志采集功能将暂停工作。当您及时补缴欠款后，日志采集功能将自动恢复。

步骤一：开通WAF日志服务

开通包年包月实例的WAF日志服务

登录Web应用防火墙控制台，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，选择安全运营 > 日志服务。
在日志服务页面，单击立即升级，并按照页面提示完成升级。
说明
如果您在购买WAF实例时已经开启了日志服务，则无需进行升级操作，请跳过该步骤。
升级操作步骤：
1. 在变配页面，开启日志服务，并根据您的业务需要选择日志存储容量。
2. 单击去支付，并完成支付。
授权WAF访问相关云资源。具体操作，请参见创建服务关联角色。

开通按量付费实例的WAF日志服务

登录Web应用防火墙控制台，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，选择安全运营 > 日志服务。
在日志服务页面，单击立即升级，并参照以下步骤完成升级。
1. 在修改套餐页面，定位到系统规格区域，设置日志存储容量（单位：TB）。
  日志存储容量大于0，即表示开通日志服务。
2. 单击确认修改。
授权WAF访问相关云资源。具体操作，请参见创建服务关联角色。

开通WAF日志服务后，阿里云日志服务将自动为当前阿里云账号创建专属的WAF日志项目和日志库，完成日志数据采集前的准备工作。关于WAF专属日志项目及日志库的默认配置，请参见WAF专属日志项目及日志库。

步骤二：使用WAF日志服务

登录Web应用防火墙控制台，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
在左侧导航栏，选择安全运营 > 日志服务。
从域名下拉列表中选择要开启日志采集的网站域名，打开右侧的状态开关，开启该网站域名的日志采集功能。
域名下拉列表（图示①）仅包含已接入WAF防护的网站域名。如果您还未将网站域名接入WAF防护，请先完成网站接入。具体操作，请参见使用教程。
在日志查询页签，通过查询与分析语句，对WAF日志数据进行查询与分析。具体操作，请参见日志查询。
更多关于日志查询与分析的案例，请参见查询与分析案例。
在日志分析页签，查看WAF基于日志数据为您整合的日志分析仪表盘。
日志分析仪表盘是WAF基于日志数据，预先设置的一系列图形报表，方便您直接查询网站业务及安全防护的相关数据。日志分析仪表盘包含：
- 运营中心：展示网站的业务运营指标，包含请求趋势、攻击概况等。
- 访问中心：展示网站的访问指标、客户端分布、流量与性能等。
- 安全中心：展示网站的被攻击指标、趋势、来源分布等。
您只需设置查询时间，即可直接查询相关仪表盘，并可以创建订阅，通过邮件等方式定期接收仪表盘数据报表。关于日志分析仪表盘包含的具体图表数据以及如何创建订阅，请参见查看日志分析仪表盘。

WAF专属日志项目及日志库

下表描述了阿里云日志服务自动创建的WAF专属日志项目（Project）及日志库（Logstore）的默认配置。

重要

请勿随意删除或修改日志服务为您创建的默认Project、Logstore、索引和仪表盘设置。日志服务将不定期更新、升级WAF日志查询与分析功能，专属日志库中的索引与默认报表也会自动更新。

资源类型	说明
Project	日志服务自动为WAF创建一个日志项目（Project）。日志项目的具体信息如下：中国内地WAF实例：日志项目名称为`waf-project-阿里云账号ID-cn-hangzhou`，所属地域为华东1（杭州）。非中国内地WAF实例：日志项目名称为`waf-project-阿里云账号ID-ap-southeast-1`，所属地域为新加坡。您可以在日志服务控制台的首页查询WAF专属日志项目，单击项目名称可以进入项目。关于Project的更多介绍，请参见管理Project。
Logstore	WAF日志项目下默认已创建一个日志库（Logstore）。WAF日志库名称为`waf-logstore`。WAF采集到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。关于Logstore的更多介绍，请参见管理Logstore。 WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。
Shard	WAF日志库默认包含两个分区（Shard），并开启了自动分裂分区功能。您可以通过Logstore基本信息查询分区属性。关于Shard的更多介绍，请参见管理Shard。
仪表盘	WAF日志项目下默认包含三个预置的仪表盘，分别为运营中心、访问中心、安全中心。您可以在WAF日志项目中查询WAF日志仪表盘。关于WAF日志仪表盘的更多介绍，请参见查看日志分析仪表盘。

快速使用WAF日志服务