文档

开启或关闭日志服务

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

Web应用防火墙(Web Application Firewall,简称WAF)默认关闭日志服务功能。如果您需要存储防护对象的日志数据,并对日志数据进行查询与分析,您需要先开启WAF日志服务。如果您不再需要使用日志服务,对于包年包月实例,在实例到期释放前无法直接关闭日志服务,您可以通过降低日志服务容量配置来减少当前费用,待实例被释放时自动关闭,对于按量付费实例,您可以直接关闭日志服务。

开启日志服务

前提条件

已开通WAF 3.0包年包月高级版、企业版、旗舰版实例,或按量付费版实例。具体操作,请参见购买WAF 3.0包年包月实例开通WAF 3.0按量付费实例

说明

WAF 3.0包年包月基础版实例不支持开启日志服务。如果您希望使用日志服务,建议您先升级版本。具体操作,请参见升级与降配

包年包月实例

  • 通过购买页开启

    访问Web应用防火墙3.0(包年包月)购买页,开启日志服务,并根据实际需要选择日志存储容量后,完成支付。

  • 在WAF控制台开启

    1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

    2. 在左侧导航栏,选择检测与响应 > 日志服务

    3. 对防护对象开启日志区域,选择所需地域。

      支持选择的日志服务存储的地域如下:

      • 中国内地:华东1(杭州),华北2(北京)

      • 非中国内地:澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、阿联酋(迪拜)、德国(法兰克福)、美国(弗吉尼亚)、美国(硅谷)、日本(东京)、韩国(首尔)、英国(伦敦)、中国(香港)、沙特(利雅得)

      警告
      • 开启后日志将存储在客户选择的地域中。客户一旦开启不可更改,只有通过释放WAF实例才可以重新更换日志存储地域,需要谨慎选择。

      • 如果您选择的地区为沙特(利雅得),则仅在特定虚拟商渠道下单购买的WAF实例才支持投递。

    4. 单击开启日志服务

按量付费实例

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择检测与响应 > 日志服务

  3. 对防护对象开启日志区域,选择所需地域。

    支持选择的日志服务存储的地域如下:

    • 中国内地:华东1(杭州),华北2(北京)

    • 非中国内地:澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、阿联酋(迪拜)、德国(法兰克福)、美国(弗吉尼亚)、美国(硅谷)、日本(东京)、韩国(首尔)、英国(伦敦)、中国(香港)

    警告

    开启后日志将存储在客户选择的地域中。客户一旦开启不可更改,只有通过释放WAF实例才可以重新更换日志存储地域,需要谨慎选择。

  4. 单击开启日志服务

    说明
    • 按量付费实例开通日志服务后,WAF不会收取任何费用。所有日志费用将由日志服务SLS统一结算。

开启日志服务后,阿里云将自动为您创建如下内容:

  • WAF服务关联角色AliyunServiceRoleForWAF

    自动创建的WAF服务关联角色可用于访问其他云资源。您可以在RAM控制台身份管理 > 角色页面,查看阿里云为WAF自动创建的服务关联角色。关于RAM角色的更多介绍,请参见RAM角色概览

    说明

    WAF服务关联角色只需创建一次,如果AliyunServiceRoleForWAF角色已经存在,则无需重复创建。

  • WAF专属的日志项目(Project)和默认日志库(Logstore)

    下表描述了阿里云日志服务自动创建的WAF日志项目及日志库的默认配置。

    警告

    删除或修改日志服务自动创建的日志项目、日志库,将导致用户数据被清除,请谨慎操作。

    资源类型

    说明

    日志项目(Project)

    日志服务自动为WAF创建一个专属日志项目。日志项目的具体信息如下:

    • 中国内地WAF实例:

      • 按量付费日志项目名称为wafnew-project-阿里云账号ID-cn-hangzhou,所属地域为华东1(杭州)。

      • 包年包月日志项目名称为wafng-project-阿里云账号ID-cn-hangzhou,所属地域为华东1(杭州)。

    • 非中国内地WAF实例:

      • 按量付费日志项目名称为wafnew-project-阿里云账号ID-ap-southeast-1,所属地域为新加坡。

      • 包年包月日志项目名称为wafng-project-阿里云账号ID-ap-southeast-1,所属地域为新加坡。

    您可以在日志服务控制台的首页,查询WAF专属日志项目。单击日志项目名称可以进入项目。

    关于日志项目的更多介绍,请参见管理Project

    日志库(Logstore)

    WAF日志项目下默认已创建一个日志库。WAF日志库的名称为wafnew-logstore。WAF投递到的所有日志都将存储到该日志库。您可以在WAF日志项目中查询WAF日志库。

    WAF日志库不支持通过API、SDK等方式写入除WAF日志外的其他类型数据。该日志库在查询、统计、报警、流式消费等功能上无特殊限制。

    重要

    只有阿里云账号下的日志服务产品处于正常使用状态时,WAF日志库才可以正常使用。如果您的日志服务产品欠费,WAF日志投递功能将暂停工作。当您及时补缴欠款后,日志投递功能将自动恢复。

    关于日志库的更多介绍,请参见管理Logstore

后续步骤

  1. 开启日志投递

    开启日志服务后,您还需要为WAF防护对象开启日志投递,然后WAF才会投递防护对象的日志数据,供您查询与分析。

    • 您可以在日志服务页面,选择要进行日志投递的防护对象,打开日志投递状态开关。开启日志采集

    • 您也可以通过日志设置,批量为防护对象开启SLS投递。具体操作,请参见管理日志投递状态

  2. 日志查询

    您可以通过日志查询,对防护对象的日志数据进行查询与分析,并基于查询与分析结果生成统计图表、创建告警等。具体操作,请参见日志查询

关闭日志服务

包年包月实例

包年包月实例的日志服务暂不支持直接关闭,将在实例到期且不再续费时,随实例释放自动被关闭。您可以通过降低日志存储容量规格来减少日志服务费用,具体操作,请参见升级与降配

警告

降低日志存储容量规格后,可能导致日志存储容量达到上限,造成新的日志数据无法被写入,从而导致日志数据不完整。

按量付费实例

警告

关闭日志服务,将导致日志服务自动创建的WAF专属日志库(Logstore)以及日志库中记录的日志数据被清除。请确认不再使用日志服务后,再进行该操作。

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地

  2. 在左侧导航栏,选择检测与响应 > 日志服务

  3. 日志服务页面,单击关闭服务。在确认对话框,单击确定