Web应用防火墙(Web Application Firewall,简称WAF)开通日志服务后,支持您对投递的日志字段进行默认配置和防护对象级别的自定义配置,本文将介绍如何使用默认字段配置和防护对象级字段配置,满足您业务对于防护对象的防护日志灵活、统一管理与配置的需求。
默认字段设置
默认字段设置允许您预先定义投递的日志字段,设置完成后,该配置将自动应用于所有防护对象和日志投递任务。您可以在左侧导航栏,选择。单击页面中的日志设置后进入页面的默认字段设置页签中,完成以下配置。
配置项 | 配置说明 |
必选字段 | 必选字段表示WAF日志中一定包含的字段,目前不支持您对必选字段进行编辑,字段详情请参见必选日志字段说明。 |
可选字段 | 可选字段表示您可以手动选择是否在WAF日志中包含这些字段。WAF日志只会记录您已启用的可选字段,字段详情请参见可选日志字段说明。 说明 启用更多可选字段将会增加WAF日志的存储容量使用。如果您有足够的日志存储容量,建议启用更多可选字段以便更全面地进行日志分析。 |
存储类型 | 存储类型配置支持您选择多种日志存储类型与采样比例,采样比例指的是从所有生成的日志条目中选取和收集用于存储、分析的日志条目的比例,采样比例在选择存储类型后可选范围为1%到100%。三种存储类型的描述如下:
说明 如果您的业务需要全面审计和深入分析,请勾选全部的日志存储选项记录全量日志。 |
当您按照配置项完成默认字段设置之后,单击保存并看到操作成功提示后,代表当前配置已在全局生效。如您需要更改默认字段配置,返回默认字段设置页签中更改配置并确认保存生效即可。
投递设置
投递设置允许对单个防护对象进行精细化字段配置和日志存储类型设置,如果针对某个防护对象进行了特定的字段和日志存储类型配置,设置后的字段优先级高于默认字段设置。
若您开通了WAF 3.0包年包月企业版、旗舰版并且接入了混合云防护对象,该防护对象还可以通过Kafka或者SYSLOG的方式外发投递日志信息。
设置SLS投递状态
在投递设置中可以开启或关闭防护对象的日志投递,步骤如下:
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)
在左侧导航栏,选择。
开启或关闭日志投递,在日志服务页面,单击右上角日志设置,选择投递设置页签,SLS投递状态列的开关状态为
表示开启。
支持批量操作,为多个防护对象开启SLS投递或者关闭SLS投递。
设置SLS投递字段
您可以在左侧导航栏,选择。单击页面中的日志设置后进入页面的投递设置页签中,单击目标防护对象的SLS投递字段列的字段配置,完成字段设置表所示的配置项。当您按照配置项完成SLS投递字段设置之后,单击确定并看到操作成功提示后,代表当前配置已对单个防护对象生效。
设置混合云外发投递状态
对于使用混合云接入的防护对象,可通过外发投递状态配置,将各个来源的日志发送到您的统一日志管理平台,便于统一监控、分析和管理。WAF支持将混合云日志外发投递至Syslog及Kafka,具体操作,请参见管理外发投递配置。
设置混合云外发投递字段
对于使用混合云接入的防护对象,可通过外发投递字段配置,定义日志的可选字段与存储类型。具体操作,请参见配置外发投递字段。