日志管理概述

Web应用防火墙(WAF)日志服务帮助您采集并存储WAF防护对象(云产品实例、域名)的Web访问及攻击防护日志,并基于阿里云日志服务,输出查询分析、统计图表、报警服务、下游计算对接与投递等能力,帮助您专注于分析,远离琐碎的查询和整理工作。

适用对象

  • 对云上资产的主机、网络以及安全日志有存储合规需求的大型企业与机构,例如金融公司、政府类机构等。
  • 拥有自己的安全运营中心,需要收集安全告警等日志进行中央运营管理的企业,例如大型地产、电商、金融公司、政府类机构等。
  • 拥有较强技术能力,需要基于云上资产的日志进行深度分析,对告警进行自动化处理的企业,例如IT、游戏、金融公司等。
  • 对云上业务安全事件有溯源需求,需要定期输出安全周报、月报和年报,或者拥有三级以上等保合规需求的用户。

应用场景

  • 追踪Web攻击日志,溯源安全威胁。
  • 查看Web请求活动,了解请求状态与趋势。
  • 快速了解安全运营效果,及时反馈和处理异常。
  • 输出安全网络日志到自建数据与计算中心。

功能优势

  • 等保合规:存储网站六个月以上的访问日志,助力网站符合等保合规要求。
  • 配置灵活:

    • 轻松配置即可实现Web访问及攻击防护日志的采集。

    • 支持自定义WAF日志字段和存储类型、设置需要采集日志的WAF防护对象(云产品实例、域名)。

    • 支持根据您的业务需求修改或者自定义符合业务或安全需求的报表模板,帮助您快速感知网站业务的安全状态。

  • 实时分析:依托阿里云日志服务产品,提供实时日志分析能力、开箱即用的报表中心与交互挖掘支持,从传统几十分钟级别到秒级别,让您对网站业务的各种Web攻击状况以及Web访问细节了如指掌。
  • 实时告警:支持基于特定指标定制监控与告警,确保在关键业务发生异常时能及时响应。
  • 生态体系:支持对接其他生态如实时计算、云存储、可视化等方案,进一步挖掘数据价值。

计费说明

  • 包年包月模式

    开启日志服务后,根据日志存储容量收取费用。

  • 按量付费模式

    WAF日志服务的费用由阿里云日志服务来统一计量和出账,不包含在WAF的账单中。关于WAF日志服务的计费说明,请参见按使用功能计费

    WAF实例默认未开启日志服务功能。如需使用日志服务功能,您必须先开启WAF日志服务。具体操作,请参见开启或关闭日志服务

功能概览

功能

说明

日志设置

开启WAF日志服务后,您可以为已接入WAF防护的对象(云产品实例、域名)开启日志采集。只有开启日志采集后,WAF才会采集并存储防护对象的相关日志数据(关于WAF日志数据包含的字段信息,请参见日志字段说明),供您进行查询与分析。关于为防护对象开启日志采集的操作,请参见日志设置与日志容量管理

您可以修改默认日志存储设置,包括要存储的日志字段类型、存储日志类型(正常请求日志检测日志拦截日志)。具体操作,请参见日志设置与日志容量管理

日志查询

使用查询分析语句,对采集到的日志数据进行查询与分析。具体操作,请参见日志查询

您可以基于查询分析语句创建告警。创建告警后,日志服务将定期检查查询与分析结果,并在检查结果满足预设条件时,向您发送告警通知,实现实时的服务状态监控。相关操作,请参见快速设置日志告警

日志容量升级

Web应用防火墙开通日志服务后,如果您的日志容量已接近或已达到饱和状态,为了避免日志数据无法写入日志库,请及时升级日志容量,请参见日志容量升级。更多日志容量达到上限后的常用解决方法,请参见WAF日志容量满了怎么办

日志存储时长

设置日志存储时长会影响存储成本,存储时长越低所需的存储成本也相应减少。您可以根据业务需求、合规性、成本与性能的综合考量来设置合适的存储期限。