Web应用防火墙(Web Application Firewall,简称WAF)开通日志服务后,支持您对投递的日志字段进行默认配置和防护对象级别的自定义配置,本文将介绍如何使用默认字段配置和防护对象级字段配置,满足您业务对于防护对象的防护日志灵活、统一管理与配置的需求。
默认字段设置
默认字段设置允许您预先定义投递的日志字段,设置完成后,该配置将自动应用于所有防护对象和日志投递任务。您可以在左侧导航栏,选择。单击页面中的日志设置后进入页面的默认字段设置页签中,完成以下配置。
配置项 | 配置说明 |
必选字段 | 必选字段表示WAF日志中一定包含的字段,目前不支持您对必选字段进行编辑,字段详情请参见必选日志字段说明。 |
可选字段 | 可选字段表示您可以手动选择是否在WAF日志中包含这些字段。WAF日志只会记录您已启用的可选字段,字段详情请参见可选日志字段说明。 说明 启用更多可选字段将会增加WAF日志的存储容量使用。如果您有足够的日志存储容量,建议启用更多可选字段以便更全面地进行日志分析。 |
存储类型 | 存储类型配置支持您选择多种日志存储类型与采样比例,采样比例指的是从所有生成的日志条目中选取和收集用于存储、分析的日志条目的比例,采样比例在选择存储类型后可选范围为1%到100%。三种存储类型的描述如下:
说明 如果您的业务需要全面审计和深入分析,请勾选全部的日志存储选项记录全量日志。 |
当您按照配置项完成默认字段设置之后,单击保存并看到操作成功提示后,代表当前配置已在全局生效。如您需要更改默认字段配置,返回默认字段设置页签中更改配置并确认保存生效即可。
投递设置
投递设置允许对单个防护对象进行精细化字段配置和日志存储类型设置,如果针对某个防护对象进行了特定的字段和日志存储类型配置,设置后的字段优先级高于默认字段设置。
若您开通了WAF 3.0包年包月企业版、旗舰版并且接入了混合云防护对象,该防护对象还可以通过Kafka或者SYSLOG的方式外发投递日志信息。
进入控制台
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
单击右上角日志设置,在日志设置页面,单击投递设置。
设置SLS投递状态
在投递设置页签,可以开启或关闭防护对象的日志投递,SLS投递状态列的开关状态为
表示开启。
支持批量操作,为多个防护对象开启SLS投递或者关闭SLS投递。
设置SLS投递字段
在投递设置页签,单击目标防护对象SLS投递字段列的字段配置,完成字段设置表所示的配置项。当您按照配置项完成SLS投递字段设置之后,单击确定并看到操作成功提示后,代表当前配置已对单个防护对象生效。
配置链路追踪
开启链路追踪后,WAF 将作为独立节点融入您的全链路监控体系。 系统将自动透传或生成 TraceID,打通 WAF 安全日志与后端应用性能数据。
核心价值
故障定界:快速判定请求失败的具体环节,明确区分是 WAF 拦截还是后端服务超时。
性能分析:精准量化 WAF 处理耗时,有效排查网络延迟与性能瓶颈。
操作步骤
在投递设置页签,单击目标防护对象链路追踪列的配置。
开启链路追踪开关,若未开通可观测链路 OpenTelemetry 版,则无法使用该功能,请参照开通方法完成开通。
完成以下项目配置。
链路追踪采样率:设置 WAF 向 OpenTelemetry 投递数据的比例(0.1% - 100%)。生产环境建议设置为 1%~10% 以控制成本;排查特定问题时可调至 100%。
云监控工作空间:选择已创建的,位于华东1(杭州)的云监控2.0工作空间。
当前链路追踪功能存在以下限制:
云监控工作空间仅支持华东1(杭州)地域。
WAF 日志服务的存储地域必须与云监控工作空间保持一致,即仅支持华东 1(杭州)地域。
不支持配置接入原理为SDK 集成的防护对象(如 ALB、FC 域名、MSE 等)。
设置混合云外发投递状态
对于使用混合云接入的防护对象,可通过外发投递状态配置,将各个来源的日志发送到您的统一日志管理平台,便于统一监控、分析和管理。WAF支持将混合云日志外发投递至Syslog及Kafka,具体操作,请参见管理外发投递配置。
设置混合云外发投递字段
对于使用混合云接入的防护对象,可通过外发投递字段配置,定义日志的可选字段与存储类型。具体操作,请参见配置外发投递字段。