开通日志服务后,您可以根据业务防护及分析需要,设置日志字段和存储类型,开启或关闭防护对象日志采集功能,修改日志存储时长,更有效地利用日志容量。您也可以实时查看日志容量,及时升级容量,避免日志数据无法写入专属日志库。本文介绍如何进行日志设置和日志容量管理。
前提条件
已开启WAF日志服务。具体操作,请参见开启或关闭日志服务。
已将Web业务添加为WAF 3.0的防护对象。具体操作,请参见防护对象和防护对象组。
日志设置
设置日志字段和存储类型
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在日志服务页面,单击右上角的日志设置。
在字段设置页签,完成如下配置后,单击保存。
配置项
说明
相关操作
日志存储时长
设置WAF日志存储时长。
WAF日志存储时长默认为180天,支持修改。
单击日志存储时长区域的前往配置,在日志服务 SLS(Simple Log Service)的WAF日志库,定位到要修改日志存储时长的Project。
将鼠标悬停在logstore上,选择或在Logstore属性面板,单击右上角的修改。 ,
修改数据保存时间后,单击右上角的保存。
自定义字段配置
设置WAF日志中要包含的日志字段。WAF日志字段包括:
必选字段:不支持修改,表示WAF日志中必须包含这些字段。
可选字段:支持修改,您可以根据需要配置要在WAF日志中包含的可选字段。
关于WAF日志字段的具体说明,请参见日志字段说明。
启用可选字段
在可选字段区域,选中要启用的字段,并移动到右侧已选字段。
保存设置后,后续新增的WAF日志将包含本次选择的可选字段。
移除可选字段
在已选字段区域,选中要移除的字段,并移动到左侧待选字段。
保存设置后,后续新增的WAF日志将不再包含本次移除的可选字段。
存储类型
要存储的日志类型。可选项:
全量日志:表示存储所有日志,包含WAF放行的正常请求、观察的可疑请求、拦截的攻击请求日志。
拦截日志:表示只存储WAF拦截的攻击请求日志。
拦截和观察日志:表示只存储WAF观察的可疑请求、拦截的攻击请求日志。
在存储类型区域,选择类型为全量日志、拦截日志或拦截和观察日志。
在提示对话框,单击确定。
保存后,日志设置内容会对接入WAF的所有域名生效。您可以在采集配置页签,配置需要生效的防护对象。具体操作,请参见设置防护对象的采集状态。
设置防护对象的采集状态
开启日志采集的防护对象将按照已选择的日志字段来生成日志,并按照设置的存储类型保存日志,供您进行查询与分析。您可以按照如下操作,统一管理已添加到WAF的防护对象的采集状态。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
在日志服务页面,单击右上角的日志设置。
在采集配置页签,定位到目标防护对象,打开或关闭日志采集状态开关。
日志容量管理(包年包月实例)
仅包年包月实例支持查看和升级日志存储容量。按量付费实例按实际用量结算费用,并由日志服务统一出账,因此没有容量限制,无需单独设置日志容量。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择 。
管理日志存储空间。
查看日志存储空间:在日志服务页面右上方,查看存储使用量的百分比、已使用存储量与总量的比例。
重要当存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满。请您在收到提示后及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。
升级日志存储容量:单击日志服务页面右上角的升级容量,选择更大的日志存储容量规格,并完成购买。