混合云日志投遞
如果您希望將Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)的混合云日志投遞到您的Syslog或Kafka服務(wù)平臺上,本文將指導(dǎo)您完成相關(guān)投遞配置,幫助您滿足日志運(yùn)維訴求,挖掘日志數(shù)據(jù)價(jià)值,為業(yè)務(wù)安全運(yùn)營增效。
前提條件
請確保您開通了支持混合云接入的包年包月企業(yè)版、包年包月旗艦版WAF,并開啟了日志服務(wù)功能。
如果您希望投遞日志的域名使用了混合云接入中的SDK集成模式,您需要先將接入的域名手動添加為防護(hù)對象。具體操作,請參見配置防護(hù)對象和防護(hù)對象組。
請確保您的混合云WAF鏡像已經(jīng)升級到最新版本。
設(shè)置混合云日志外發(fā)投遞
混合云環(huán)境中,您的日志來源可能分散在多個云服務(wù)和本地設(shè)施中。外發(fā)投遞功能可以將各個來源的日志發(fā)送到您的統(tǒng)一日志管理平臺,便于統(tǒng)一監(jiān)控、分析和管理。WAF支持您將混合云日志外發(fā)投遞至Syslog及Kafka,您可以參照下面的操作步驟,對您的業(yè)務(wù)防護(hù)對象日志進(jìn)行配置操作。
管理外發(fā)投遞配置
登錄Web應(yīng)用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實(shí)例的資源組和地域(中國內(nèi)地、非中國內(nèi)地)。
在左側(cè)導(dǎo)航欄,選擇。,單擊頁面中的日志設(shè)置后進(jìn)入默認(rèn)字段設(shè)置頁簽。
在默認(rèn)字段設(shè)置頁簽,您可以對所有的投遞日志設(shè)置默認(rèn)投遞字段。日志字段的具體含義請參見日志字段說明。
在日志設(shè)置頁面單擊投遞設(shè)置頁簽進(jìn)入如下圖所示頁面。
單擊,進(jìn)入外發(fā)投遞配置頁面。在該頁面,您可以新增、編輯和刪除配置。如果您第一次配置混合云日志外發(fā)投遞,您可以單擊新增外發(fā)投遞配置,并參照下表完成配置后,單擊保存完成新增配置操作。為了滿足不同場景下的需求,WAF支持您持有多個外發(fā)投遞配置,也支持為多個防護(hù)對象選擇相同的外發(fā)投遞配置,幫助您實(shí)現(xiàn)自由定制和管理日志。
重要如果混合云防護(hù)對象綁定了該投遞配置項(xiàng),且外發(fā)投遞狀態(tài)為開啟狀態(tài),則該配置項(xiàng)無法刪除,請先關(guān)閉日志外發(fā)投遞服務(wù),然后再進(jìn)行刪除操作。
配置類型
配置項(xiàng)
說明
SYSLOG
配置名稱
為該投遞配置設(shè)置一個名稱。
長度為1~100個字符,支持中文和大小寫英文字母,可包含數(shù)字、半角句號(.)、下劃線(_)和短劃線(-)。
說明配置完成后暫不支持使用編輯功能更改配置名稱。
服務(wù)器IP/端口
接收日志的Syslog服務(wù)器IP地址和端口。
RFC
Syslog協(xié)議采用的RFC版本號。
協(xié)議
傳輸層通信協(xié)議類型,支持選擇TCP或UDP協(xié)議
KAFKA
配置名稱
為該投遞配置設(shè)置一個名稱。
長度為1~100個字符,支持中文和大小寫英文字母,可包含數(shù)字、半角句號(.)、下劃線(_)和短劃線(-)。
說明配置完成后暫不支持使用編輯功能更改配置名稱。
TOPIC ID/名稱
對應(yīng)的Topic ID信息。
域名
投遞域名(要求網(wǎng)絡(luò)可達(dá))。
接入?yún)f(xié)議
PLAINTEXT
適用場景:消息傳輸過程無需加密,消息收發(fā)無需鑒權(quán)。
SASL_PLAINTEXT
適用場景:消息傳輸過程無需加密,消息收發(fā)需鑒權(quán)。
SASL_SSL
適用場景:消息傳輸過程需要加密,消息收發(fā)需要鑒權(quán)。
壓縮類型
外發(fā)至Kafka日志的壓縮類型,支持選擇:none、gzip、zstd、lz4、snappy。
自定義CA
自定義CA證書。
開啟或關(guān)閉日志外發(fā)投遞
當(dāng)您已經(jīng)設(shè)置好您的外發(fā)投遞配置后,返回投遞設(shè)置頁面,找到目標(biāo)防護(hù)對象,單擊外發(fā)投遞狀態(tài)列的
圖標(biāo),開啟日志外發(fā)投遞服務(wù)。設(shè)置完成后,如需查看日志,可以通過您的Syslog或Kafka平臺進(jìn)行查詢操作,實(shí)現(xiàn)數(shù)據(jù)的實(shí)時獲取與分析。
當(dāng)您希望關(guān)閉日志外發(fā)投遞時,可以返回投遞設(shè)置頁面,找到目標(biāo)防護(hù)對象,關(guān)閉日志外發(fā)投遞服務(wù)。
外發(fā)投遞開啟后僅投遞配置完成后新生成的日志,無法投遞歷史日志。
如果您想批量操作防護(hù)對象開啟日志的外發(fā)投遞設(shè)置,您可以先勾選多個防護(hù)對象后,在防護(hù)對象列表的下方找到批量操作欄,選擇開啟外發(fā)投遞或者關(guān)閉外發(fā)投遞。請注意,批量開啟操作僅支持為當(dāng)前選中的多個防護(hù)對象選擇相同的外發(fā)投遞配置。
如果您希望更換目標(biāo)防護(hù)對象的外發(fā)投遞配置,請您關(guān)閉當(dāng)前投遞后再次開啟并選擇您希望更換的外發(fā)投遞配置。
外發(fā)投遞字段配置
如果您希望對當(dāng)前所有日志投遞任務(wù)進(jìn)行統(tǒng)一的投遞字段配置,請參考設(shè)置投遞日志字段中的默認(rèn)字段設(shè)置。
如果您希望對部分防護(hù)對象進(jìn)行單獨(dú)外發(fā)投遞字段配置,您可以單擊目標(biāo)防護(hù)對象的外發(fā)投遞字段列下的字段設(shè)置進(jìn)行自定義設(shè)置,詳細(xì)字段說明及屬性請參考日志字段說明。