WAF日志字段设置，_Web应用防火墙(WAF)-阿里云帮助中心

Web应用防火墙（Web Application Firewall，简称WAF）开通日志服务后，支持您对投递的日志字段进行默认配置和防护对象级别的自定义配置，本文将介绍如何使用默认字段配置和防护对象级字段配置，满足您业务对于防护对象的防护日志灵活、统一管理与配置的需求。

默认字段设置

默认字段设置允许您预先定义投递的日志字段，设置完成后，该配置将自动应用于所有防护对象和日志投递任务。您可以在左侧导航栏，选择检测与响应 > 日志服务单击页面中的日志设置后进入页面的默认字段设置页签中，完成下面字段设置表的配置项。

配置项	配置说明
必选字段	必选字段表示WAF日志中一定包含的字段，目前不支持您对必选字段进行编辑，字段详情请参见必选日志字段说明。
可选字段	可选字段表示您可以手动选择是否在WAF日志中包含这些字段。WAF日志只会记录您已启用的可选字段，字段详情请参见可选日志字段说明。说明启用更多可选字段将会增加WAF日志的存储容量使用。如果您有足够的日志存储容量，建议启用更多可选字段以便更全面地进行日志分析。
存储类型	存储类型配置支持您选择多种日志存储类型与采样比例，采样比例指的是从所有生成的日志条目中选取和收集用于存储、分析的日志条目的比例，采样比例在选择存储类型后可选范围为1%到100%。三种存储类型的描述如下：正常请求日志：仅记录正常请求的日志。检测日志：检测日志包括规则动作为观察、js校验、滑块、严格滑块、回源打标、令牌挑战的命中日志。拦截日志：仅记录被WAF拦截的攻击请求。适合关注安全事件并希望减少非关键日志存储资源消耗的用户。说明如果您的业务需要全面审计和深入分析，请勾选全部的日志存储选项记录全量日志。

当您按照配置项完成默认字段设置之后，单击保存并看到操作成功提示后，代表当前配置已在全局生效。如您需要更改默认字段配置，返回默认字段设置页签中更改配置并确认保存生效即可。

投递设置

投递设置允许对单个防护对象进行精细化字段配置和日志存储类型设置，如果针对某个防护对象进行了特定的字段和日志存储类型配置，设置后的字段优先级高于默认字段设置。若您开通了WAF 3.0包年包月企业版、旗舰版并且接入了混合云防护对象，该防护对象还可以通过Kafka或者SYSLOG的方式外发投递日志信息。

设置SLS投递状态

在投递设置中可以开启或关闭防护对象的日志投递，步骤如下：

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）
在左侧导航栏，选择检测与响应 > 日志服务
开启或关闭日志投递，在日志服务页面，单击右上角日志设置，选择投递设置页签，SLS投递状态列的开关状态为表示开启。

说明

支持批量操作，为多个防护对象开启SLS投递或者关闭SLS投递。

设置SLS投递字段

您可以在左侧导航栏，选择检测与响应 > 日志服务，单击页面中的日志设置后进入页面的投递设置页签中，单击目标防护对象的SLS投递字段列的字段配置，完成字段设置表所示的配置项。当您按照配置项完成SLS投递字段设置之后，单击确定并看到操作成功提示后，代表当前配置已对单个防护对象生效。

设置外发投递状态

重要

仅混合云接入的防护对象支持日志外发投递。

在日志外发之前需要新增外发投递配置，您可以在左侧导航栏，选择检测与响应 > 日志服务单击页面中的日志设置后进入页面的投递设置页签中，点击外发投递配置在右侧面板中查看已有的配置，如果当前配置不满足您外发投递日志的需求，请点击新增外发投递配置选择配置类型后完成如下表所示的配置操作。

SYSLOG配置

配置项	配置说明
配置类型	选择SYSLOG。
配置名称	填写该配置的名称。
服务器IP/端口	填写IPv4格式的公网IP地址和端口信息，以便接收WAF日志的投递。
RFC	支持两个 RFC 文档定义RFC 3164和RFC 5424，填写一个与您日志管理系统一致的RFC。
协议	支持TCP与UDP传输协议。选择 TCP 还是 UDP 取决于对日志数据传输的可靠性、性能和管理要求。对于大多数集中式日志系统，特别是在支持重传和丢失标记的情况下，TCP 是常用的选择，而 UDP 通常用于需要快速处理大流量但不那么重要的日志数据。

KAFKA配置

配置项	配置说明
配置类型	选择KAFKA。
配置名称	填写该配置的名称。
TOPIC ID/名称	填写您要投递的目标TOPIC名称。
域名	填写您的KAFKA的集群地址。说明集群地址可以是域名加端口或者是IP加端口的形式。多个IP或域名之间用逗号隔开。例如：kafka.aliyuncs.com:9093,127.0.0.1:9093,kafka2.aliyuncs.com:9093。
接入协议	支持三种安全配置选项：PLAINTEXT、SASL_PLAINTEXT 和 SASL_SSL。请根据您的 KAFKA集群的安全配置，选择合适的选项。
SASL用户名	接入协议为SASL_PLAINTEXT或SASL_SSL需要进行身份验证，请填写您KAFKA集群的用户名。
SASL密码	接入协议为SASL_PLAINTEXT或SASL_SSL需要进行身份验证，请填写您KAFKA集群的密码。
压缩类型	支持gzip、zstd、lz4、snappy四种压缩类型，如果不需要压缩，请选择none。
自定义CA	接入协议为SASL_SSL需要填写证书，请填写您的证书内容。说明证书格式以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----结尾。

如果已存在您需要的外发投递配置，请在投递设置页面中找到需要外发投递日志的防护对象，外发投递状态列的开关状态为表示开启。并在提示弹窗中选择投递配置。

说明

如果您想批量操作防护对象开启外发投递状态，您可以先勾选多个防护对象后，在防护对象列表的下方找到批量操作栏，选择开启外发投递或者关闭外发投递。

设置外发投递字段

外发投递字段设置允许您定义外发投递的日志可选字段与存储类型。在左侧导航栏，选择检测与响应 > 日志服务单击页面中的日志设置后进入页面的投递设置页签中，单击目标防护对象的外发投递字段列的字段配置，完成字段设置表所示的配置项。当您按照配置项完成外发投递字段设置之后，单击确定并看到操作成功提示后，代表当前配置已对单个防护对象生效。