AI 助理
备案控制台
文档
输入文档关键字查找
首页 Web应用防火墙 Web应用防火墙3.0 操作指南 检测与响应 日志管理 日志查询

日志查询

更新时间:
产品详情
相关技术圈
我的收藏

Web 应用防火墙 WAF(Web Application Firewall)防护对象开启日志采集后,您可以通过日志查询,对防护对象的日志数据进行查询与分析,并基于查询与分析结果生成统计图表、创建告警等。

前提条件

查询与分析日志

  1. 登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择检测与响应 > 日志服务

  3. 日志服务页面上方,选择要查询日志的防护对象。

    重要

    防护对象必须已经开启日志采集(即状态开关已打开),否则WAF不会采集其日志数据,也不提供查询与分析服务。如果已选择的防护对象还没有开启日志采集,您可以在此处为其打开状态开关,开启日志采集;或者前往日志设置页面,通过SLS投递状态,管理所有防护对象的日志采集状态。相关操作,请参见管理日志投递状态

    日志报表

  4. 日志查询页签,通过查询与分析语句,对WAF日志数据进行查询与分析。

    日志查询与分析

    具体步骤如下:

    1. 在语句输入框(图示①),输入查询语句。

      查询语句采用阿里云日志服务专用语法,关于该语法的详细介绍,请参见查询语法。查询语句中使用WAF日志包含的字段作为查询字段,关于支持使用的查询字段,请参见日志字段说明

      如果您不了解日志查询语法,推荐您使用高级搜索。您只需在语句输入框上方展开高级搜索,设置搜索条件并单击搜索,语句输入框即可自动生成与搜索条件匹配的日志查询语句。高级搜索下表描述了高级搜索支持设置的搜索条件。

      搜索条件

      说明

      IP

      发起请求的客户端的IP地址。

      请求ID

      WAF为客户端请求生成的唯一标识。WAF向客户端返回拦截页面或者滑块验证响应时会提供该ID,用于问题分析与故障排查。

      规则ID

      请求命中的WAF防护规则的ID。您可以防护规则页面,查询具体规则的规则ID;或者在安全报表页面,通过规则命中纪录或统计数据,获取请求命中的规则ID。更多信息,请参见安全报表

      服务器响应状态码

      源站服务器响应WAF回源请求的HTTP状态码。

      WAF返回客户端响应码

      WAF响应客户端请求的HTTP状态码。

      防护模块

      请求命中的WAF防护模块的类型。关于WAF防护模块的介绍及不同模块防护规则的配置方法,请参见防护配置概述

    2. 如果您需要对查询结果进行计算和统计分析,可以在语句输入框(图示①)已输入的查询语句后,输入分析语句;如果您只需要查询满足条件的日志数据,可以跳过该步骤。

      分析语句和查询语句间使用竖线(|)分隔。分析语句采用标准的SQL 92语法,关于分析语句的更多介绍,请参见分析概述

    3. 通过时间选择器(图示②),设置要查询的日志的创建时间范围。

    4. 单击查询/分析(图示③)。

      查询与分析结果(即命中查询条件的WAF日志数据)将会显示在页面下方,包含日志分布直方图、原始日志统计图表日志聚类。您可以基于查询结果进行快速分析、生成统计图表、设置告警等,具体说明,请参见查询与分析结果说明

查询与分析结果说明

直方图

分布直方图

  • 将鼠标悬浮在绿色数据块上时,您可以查看该数据块代表的时间范围和日志命中次数。

  • 双击绿色数据块,您可以查看更细时间粒度的日志分布,同时原始日志页签中将同步展示指定时间范围内的查询结果。

原始日志

单击原始日志页签,查看日志查询和分析结果。

image.png

序号

说明

1

单击表格原始,切换日志格式。

2

  • image.png:复制日志内容。

  • image.png:SLS Copilot,基于日志内容总结信息、查找错误信息等。

  • 查询日志-004:查看指定日志在原始文件中的上下文信息。只有通过Logtail采集到的日志才支持上下文浏览功能。具体操作,请参见上下文查询

  • LiveTail:实时监控日志内容,提取关键日志信息。只有通过Logtail采集到的日志才支持LiveTail功能。 具体操作,请参见LiveTail

3

  • 下载日志:支持选择下载范围和下载工具。具体操作,请参见下载日志

  • image.png>JSON设置:设置JSON展示类型和展示级别。

  • image.png>事件配置:为原始日志配置事件

4

  • image.png:收藏视图。在区域5设置显示字段后,可以收藏显示视图。在区域4上方的下拉列表选择视图。

  • image.png>tag设置:将字段设置为系统Tag。

    Tag

  • image.png>别名:开启后,字段名称将被别名替换,未设置别名的字段仍展示字段名称。设置字段别名的步骤,请参见创建索引

5

  • 显示字段区域,单击目标字段后的image.png,将索引字段从显示字段中清除,在右侧的日志信息中不再显示。

  • 索引字段区域,单击目标字段后的image.png,将字段添加到显示字段中,在右侧的日志信息中显示。

  • image.png:查看字段的基本分布情况统计指标等信息。具体操作,请参见字段设置

可选步骤

image.png

统计图表

执行查询和分析语句后,您可以在统计图表页签中查看可视化的查询和分析结果。

  • 查看查询和分析结果:统计图表是日志服务根据查询与分析语句渲染出的结果。日志服务提供表格、线图、柱状图等多种图表类型。目前,统计图表包括Pro版本和普通版本。具体操作,请参见统计图表(Pro版本)概述统计图表概述

  • 添加图表到仪表盘:仪表盘是日志服务提供的实时数据分析大盘。单击添加到仪表盘,将查询和分析结果以图表形式保存到仪表盘中。具体操作,请参见可视化概述

  • 设置交互事件:交互事件是数据分析中不可缺少的功能之一,通过改变数据维度的层次、变换分析的粒度从而获取数据中更详尽的信息。具体操作,请参见交互事件

  • 创建定时SQL任务:日志服务提供定时SQL功能,用于定时分析数据、存储聚合数据、投影与过滤数据。具体操作,请参见定时SQL

日志聚类

日志聚类页签中,单击开启日志聚类,可实现在采集日志时聚合相似度高的日志。具体操作,请参见日志聚类

image.png

SQL增强

当您在使用SQL分析时,如果数据量较大,日志服务无法在一次查询中完整分析这个时间段内的所有日志。通过开启SQL独享版,增加计算资源,可以提升单次分析的数据量。更多信息,请参见开启SQL独享版

Scan扫描

在某些场景下无法创建索引、没有创建索引,但仍需要查询或分析日志,可以使用扫描功能。更多信息,请参见扫描(Scan)日志

告警

单击另存为告警图标,为查询和分析结果设置告警。具体操作,请参见快速设置日志告警

快速查询

单击快速查询图标,将某一查询和分析语句保存为快速查询。具体操作,请参见快速查询

分享

单击image.png图标,复制本页面链接,分享给其他用户。

上一篇:开启或关闭日志服务下一篇:日志设置
文档推荐