日志字段设置

Web应用防火墙(Web Application Firewall,简称WAF)开通日志服务后,支持您对投递的日志字段进行默认配置和防护对象级别的自定义配置,本文将介绍如何使用默认字段配置和防护对象级字段配置,满足您业务对于防护对象的防护日志灵活、统一管理与配置的需求。

默认字段设置

默认字段设置允许您预先定义投递的日志字段,设置完成后,该配置将自动应用于所有防护对象和日志投递任务。您可以在左侧导航栏,选择检测与响应 > 日志服务单击页面中的日志设置后进入页面的默认字段设置页签中,进行如下表所示的配置操作。

配置项

配置说明

必选字段

必选字段表示WAF日志中一定包含的字段,目前不支持您对必选字段进行编辑,字段详情请参见必选日志字段说明

可选字段

可选字段表示您可以手动选择是否在WAF日志中包含这些字段。WAF日志只会记录您已启用的可选字段,字段详情请参见可选日志字段说明

说明

启用更多可选字段将会增加WAF日志的存储容量使用。如果您有足够的日志存储容量,建议启用更多可选字段以便更全面地进行日志分析。

存储类型

存储类型配置支持您根据您购买的日志存储容量,选择不同的日志存储选项:全量日志、拦截日志、拦截与观察日志。选择合适的存储类型有助于平衡安全监控与日志存储成本。

  • 全量日志:记录所有请求,包括正常请求、可疑请求及被拦截的攻击请求。适用于需要全面审计和深入分析的场景。

  • 拦截日志:仅记录被WAF拦截的攻击请求。适合关注安全事件并希望减少非关键日志存储资源消耗的用户。

  • 拦截与观察日志:记录被WAF标记为可疑的请求和被拦截的攻击请求。适用于希望监测潜在威胁的同时控制日志存储使用量的用户。

当您按照配置项完成默认字段设置之后,单击保存并看到操作成功提示后,代表当前配置已在全局生效。如您需要更改默认字段配置,返回默认字段设置页签中更改配置并确认保存生效即可。

SLS投递字段设置

SLS投递字段设置允许对单个防护对象进行精细化字段配置和日志存储类型设置,如果针对某个防护对象进行了特定的字段和日志存储类型配置,设置后的字段优先级高于默认字段设置。您可以在左侧导航栏,选择检测与响应 > 日志服务单击页面中的日志设置后进入页面的投递设置页签中,单击目标防护对象的SLS投递字段列的字段配置,完成如下表所示的配置操作。

配置项

配置说明

必选字段

必选字段表示WAF日志中一定包含的字段,目前不支持您对必选字段进行编辑,字段详情请参见必选日志字段说明

可选字段

可选字段表示您可以手动选择是否在WAF日志中包含这些字段。WAF日志只会记录您已启用的可选字段,字段详情请参见可选日志字段说明

说明

启用更多可选字段将会增加WAF日志的存储容量使用。如果您有足够的日志存储容量,建议启用更多可选字段以便更全面地进行日志分析。

存储类型

存储类型配置支持您根据您购买的日志存储容量,选择不同的日志存储选项:全量日志、拦截日志、拦截与观察日志。选择合适的存储类型有助于平衡安全监控与日志存储成本。

  • 全量日志:记录所有请求,包括正常请求、可疑请求及被拦截的攻击请求。适用于需要全面审计和深入分析的场景。

  • 拦截日志:仅记录被WAF拦截的攻击请求。适合关注安全事件并希望减少非关键日志存储资源消耗的用户。

  • 拦截与观察日志:记录被WAF标记为可疑的请求和被拦截的攻击请求。适用于希望监测潜在威胁的同时控制日志存储使用量的用户。

当您按照配置项完成SLS投递字段设置之后,单击确定并看到操作成功提示后,代表当前配置已对单个防护对象生效。