阿里云国际云服务器如何查询和分析WAF日志

天鹅云2021-08-05

阿里云国际云服务器的网站域名开启日志采集后,就可以在日志服务页面查询和分析网站的日志数据。下面由天鹅云为您详细介绍怎样通过WAF日志服务页面查询和分析日志的操作方法。

阿里云国际云服务器如何查询和分析WAF日志插图

前提条件

已为接入WAF防护的网站域名开启日志采集。相关操作,请参见:开启日志采集。只有开启日志采集后,WAF才会采集与网站域名有关的日志数据,供您进行查询与分析。

操作步骤

1、登录Web应用防火墙控制台。

2、在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地、海外地区)。

3、在左侧导航栏,选择日志管理 > 日志服务。

4、在日志服务页面上方,选择要操作的网站域名。

5、在日志查询页签,通过查询与分析语句,对WAF日志数据进行查询与分析。

阿里云国际云服务器如何查询和分析WAF日志插图1

具体步骤如下:

1)、通过时间选择器(图示①),修改日志查询时间范围。

2)、在语句输入框(图示②),输入查询语句。

查询语句采用阿里云日志服务专用语法,关于该语法的详细介绍,查询语句中使用WAF日志包含的字段作为查询字段,关于支持使用的查询字段,

如果您不了解日志查询语法,推荐您使用 高级搜索。您只需在语句输入框上方展开 高级搜索,设置搜索条件并单击 搜索,语句输入框即可自动生成与搜索条件匹配的日志查询语句。

  1. 阿里云国际云服务器如何查询和分析WAF日志插图2

下表描述了高级搜索支持设置的搜索条件。

搜索条件 说明
IP 发起请求的客户端的IP地址。
Trace ID WAF为客户端请求生成的唯一标识。WAF向客户端返回拦截页面或者滑块验证响应时会提供该ID,用于问题分析与故障排查。
Rule ID 请求命中的WAF防护规则ID。您可以在安全报表或者系统管理 > 防护规则组页面,获取规则ID信息。
服务器响应状态码 源站服务器响应WAF回源请求的HTTP状态码。
WAF返回客户端响应码 WAF响应客户端请求的HTTP状态码。
拦截规则 请求命中的WAF防护规则的类型。关于WAF防护模块的介绍及不同模块防护规则的配置方法,请参见概述

3)、如果您需要对查询结果进行计算和统计分析,可以在语句输入框(图示②)已输入的查询语句后,输入分析语句;如果您只需要查询满足条件的日志数据,可以跳过该步骤。

分析语句和查询语句间使用竖线(|)分隔。分析语句采用标准的SQL92语法,关于分析语句的更多介绍,

4)、单击查询/分析(图示③)。

查询与分析结果(即命中查询条件的WAF日志数据)将会显示在页面下方,包含日志分布直方图、 原始日志及 统计图表。您可以基于查询结果进行快速分析、生成统计图表、设置告警等。

6、在日志分析页签,查看WAF基于日志数据为您整合的日志分析仪表盘。

日志分析仪表盘是WAF基于日志数据,预先设置的一系列图形报表,方便您直接查询网站业务及安全防护的相关数据。日志分析仪表盘包含:

运营中心:展示网站的业务运营指标,包含请求趋势、攻击概况等。
访问中心:展示网站的访问指标、客户端分布、流量与性能等。
安全中心:展示网站的被攻击指标、趋势、来源分布等。

您只需设置查询时间,即可直接查询相关仪表盘,并可以创建订阅,通过邮件等方式定期接收仪表盘数据报表。

联系我们
添加企业微信
  • 400-990-1882
  • sell@live.cn

天鹅云不是完美的,我们渴望您的建议。

X