日志设置与日志容量管理

开通日志服务后,您可以根据业务防护及分析需要,设置日志字段和存储类型,开启或关闭防护对象日志采集功能,修改日志存储时长,更有效地利用日志容量。您也可以实时查看日志容量,及时升级容量,避免日志数据无法写入专属日志库。本文介绍如何进行日志设置和日志容量管理。

前提条件

日志设置

设置日志字段和存储类型

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择安全运营 > 日志服务

  3. 日志服务页面,单击右上角的日志设置

  4. 字段设置页签,完成如下配置后,单击保存

    配置项

    说明

    相关操作

    日志存储时长

    设置WAF日志存储时长。

    WAF日志存储时长默认为180天,支持修改。

    1. 单击日志存储时长区域的前往配置,在日志服务 SLS(Simple Log Service)的WAF日志库,定位到要修改日志存储时长的Project。

    2. 将鼠标悬停在logstore上,选择展开 > 修改,或在Logstore属性面板,单击右上角的修改

    3. 修改数据保存时间后,单击右上角的保存

    自定义字段配置

    设置WAF日志中要包含的日志字段。WAF日志字段包括:

    • 必选字段:不支持修改,表示WAF日志中必须包含这些字段。

    • 可选字段:支持修改,您可以根据需要配置要在WAF日志中包含的可选字段。

    关于WAF日志字段的具体说明,请参见日志字段说明

    • 启用可选字段

      可选字段区域,选中要启用的字段,并移动到右侧已选字段

      保存设置后,后续新增的WAF日志将包含本次选择的可选字段。

    • 移除可选字段

      已选字段区域,选中要移除的字段,并移动到左侧待选字段

      保存设置后,后续新增的WAF日志将不再包含本次移除的可选字段。

    存储类型

    要存储的日志类型。可选项:

    • 全量日志:表示存储所有日志,包含WAF放行的正常请求、观察的可疑请求、拦截的攻击请求日志。

    • 拦截日志:表示只存储WAF拦截的攻击请求日志。

    • 拦截和观察日志:表示只存储WAF观察的可疑请求、拦截的攻击请求日志。

    存储类型区域,选择类型为全量日志拦截日志拦截和观察日志

  5. 提示对话框,单击确定

    保存后,日志设置内容会对接入WAF的所有域名生效。您可以在采集配置页签,配置需要生效的防护对象。具体操作,请参见设置防护对象的采集状态

设置防护对象的采集状态

开启日志采集的防护对象将按照已选择的日志字段来生成日志,并按照设置的存储类型保存日志,供您进行查询与分析。您可以按照如下操作,统一管理已添加到WAF的防护对象的采集状态。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择安全运营 > 日志服务

  3. 日志服务页面,单击右上角的日志设置

  4. 采集配置页签,定位到目标防护对象,打开或关闭日志采集状态开关。

日志容量管理(包年包月实例)

仅包年包月实例支持查看和升级日志存储容量。按量付费实例按实际用量结算费用,并由日志服务统一出账,因此没有容量限制,无需单独设置日志容量。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择安全运营 > 日志服务

  3. 管理日志存储空间。

    • 查看日志存储空间:在日志服务页面右上方,查看存储使用量的百分比、已使用存储量与总量的比例。

      重要

      当存储使用量超过80%时,您会收到短信和邮件,提醒您日志存储空间即将占满。请您在收到提示后及时升级容量,避免因日志存储空间容量占满,导致新的日志数据无法写入专属日志库,造成日志数据不完整。

    • 升级日志存储容量:单击日志服务页面右上角的升级容量,选择更大的日志存储容量规格,并完成购买。