本文列举了Web应用防火墙(Web Application Firewall,简称WAF)3.0版本日志管理的常见问题。
查询不到部分日志的原因?
除了WAF必选的日志字段,部分可选字段日志信息默认不会被记录,您需要手动勾选启用这些可选字段,例如您配置了自定义规则,建议您参考日志字段说明,勾选acl_action、acl_rule_id、acl_rule_type、acl_test字段,以保存触发对应防护规则生成的相关日志。
说明
可选字段会使WAF日志占用更多的存储容量,建议合理按照实际的业务需求对可选字段进行勾选。
为什么可以查看到大于设置存储天数的日志?
您有可能查看到大于设置存储天数的日志,例如设置了日志数据保存90天,却能查看到90天前的日志。这是正常现象,超出存储天数的日志在删除窗口期内可能短暂可见,最多会延迟7天,延迟删除的这部分日志数据不会计入收费,也不会计入存储容量。
云产品接入ALB实例时,WAF日志字段remote_addr的取值是什么
当ALB实例的配置不同,remote_addr字段的取值会有所差异。
ALB实例配置 | remote_addr字段取值 | |
ALB实例未启用查找真实客户端源IP。 | 取值为与ALB实例直接建立连接的客户端源IP。如果ALB前还有其他七层代理(例如CDN、DDoS高防),该字段为ALB的上一级代理的IP。 | |
ALB实例启用查找真实客户端源IP,且访问实例的源IP在实例设置的可信IP列表内。 | 取值为X-Forwarded-For字段内容。 | |
ALB实例启用查找真实客户端源IP,且访问实例的源IP不在实例设置的可信IP列表内。 | 取值为与ALB实例直接建立连接的客户端源IP。如果ALB前还有其他七层代理(例如CDN、DDoS高防),该字段为ALB的上一级代理的IP。 | |
该文章对您有帮助吗?