為Web 應用防火墻 WAF(Web Application Firewall)防護對象開啟日志采集后,您可以通過日志查詢,對防護對象的日志數據進行查詢與分析,并基于查詢與分析結果生成統計圖表、創建告警等。
前提條件
已開啟WAF日志服務。具體操作,請參見開啟或關閉日志服務。
已將Web業務添加為WAF 3.0的防護對象。具體操作,請參見配置防護對象和防護對象組。
已為WAF防護對象開啟日志投遞。具體操作,請參見管理日志投遞狀態。
查詢與分析日志
登錄Web應用防火墻3.0控制臺。在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇。
在日志服務頁面上方,選擇要查詢日志的防護對象。
重要防護對象必須已經開啟日志采集(即狀態開關已打開),否則WAF不會采集其日志數據,也不提供查詢與分析服務。如果已選擇的防護對象還沒有開啟日志采集,您可以在此處為其打開狀態開關,開啟日志采集;或者前往日志設置頁面,通過SLS投遞狀態,管理所有防護對象的日志采集狀態。相關操作,請參見管理日志投遞狀態。
在日志查詢頁簽,通過查詢與分析語句,對WAF日志數據進行查詢與分析。
具體步驟如下:
在語句輸入框(圖示①),輸入查詢語句。
查詢語句采用阿里云日志服務專用語法,關于該語法的詳細介紹,請參見查詢語法。查詢語句中使用WAF日志包含的字段作為查詢字段,關于支持使用的查詢字段,請參見日志字段說明。
如果您不了解日志查詢語法,推薦您使用高級搜索。您只需在語句輸入框上方展開高級搜索,設置搜索條件并單擊搜索,語句輸入框即可自動生成與搜索條件匹配的日志查詢語句。
下表描述了高級搜索支持設置的搜索條件。搜索條件
說明
IP
發起請求的客戶端的IP地址。
請求ID
WAF為客戶端請求生成的唯一標識。WAF向客戶端返回攔截頁面或者滑塊驗證響應時會提供該ID,用于問題分析與故障排查。
規則ID
請求命中的WAF防護規則的ID。您可以防護規則頁面,查詢具體規則的規則ID;或者在安全報表頁面,通過規則命中紀錄或統計數據,獲取請求命中的規則ID。更多信息,請參見安全報表。
服務器響應狀態碼
源站服務器響應WAF回源請求的HTTP狀態碼。
WAF返回客戶端響應碼
WAF響應客戶端請求的HTTP狀態碼。
防護模塊
請求命中的WAF防護模塊的類型。關于WAF防護模塊的介紹及不同模塊防護規則的配置方法,請參見防護配置概述。
如果您需要對查詢結果進行計算和統計分析,可以在語句輸入框(圖示①)已輸入的查詢語句后,輸入分析語句;如果您只需要查詢滿足條件的日志數據,可以跳過該步驟。
分析語句和查詢語句間使用豎線(|)分隔。分析語句采用標準的SQL 92語法,關于分析語句的更多介紹,請參見分析概述。
通過時間選擇器(圖示②),設置要查詢的日志的創建時間范圍。
單擊查詢/分析(圖示③)。
查詢與分析結果(即命中查詢條件的WAF日志數據)將會顯示在頁面下方,包含日志分布直方圖、原始日志、統計圖表、日志聚類。您可以基于查詢結果進行快速分析、生成統計圖表、設置告警等,具體說明,請參見查詢與分析結果說明。
查詢與分析結果說明
直方圖
將鼠標懸浮在綠色數據塊上時,您可以查看該數據塊代表的時間范圍和日志命中次數。
雙擊綠色數據塊,您可以查看更細時間粒度的日志分布,同時原始日志頁簽中將同步展示指定時間范圍內的查詢結果。
原始日志
單擊原始日志頁簽,查看日志查詢和分析結果。
序號 | 說明 |
1 | 單擊表格或原始,切換日志格式。 |
2 | |
3 | |
4 |
|
5 |
|
:復制日志內容。
:SLS Copilot,基于日志內容總結信息、查找錯誤信息等。
:查看指定日志在原始文件中的上下文信息。只有通過Logtail采集到的日志才支持上下文瀏覽功能。具體操作,請參見
:實時監控日志內容,提取關鍵日志信息。只有通過Logtail采集到的日志才支持LiveTail功能。 具體操作,請參見
:支持選擇下載范圍和下載工具。具體操作,請參見
>JSON設置:設置JSON展示類型和展示級別。 
:收藏視圖。在區域5設置顯示字段后,可以收藏顯示視圖。在區域4上方的下拉列表選擇視圖。
>tag設置:將字段設置為系統Tag。
,將索引字段從顯示字段中清除,在右側的日志信息中不再顯示。
,將字段添加到顯示字段中,在右側的日志信息中顯示。
:查看字段的基本分布情況、統計指標等信息。具體操作,請參見可選步驟
統計圖表
執行查詢和分析語句后,您可以在統計圖表頁簽中查看可視化的查詢和分析結果。
查看查詢和分析結果:統計圖表是日志服務根據查詢與分析語句渲染出的結果。日志服務提供表格、線圖、柱狀圖等多種圖表類型。目前,統計圖表包括Pro版本和普通版本。具體操作,請參見統計圖表(Pro版本)概述、統計圖表概述。
添加圖表到儀表盤:儀表盤是日志服務提供的實時數據分析大盤。單擊添加到儀表盤,將查詢和分析結果以圖表形式保存到儀表盤中。具體操作,請參見可視化概述。
設置交互事件:交互事件是數據分析中不可缺少的功能之一,通過改變數據維度的層次、變換分析的粒度從而獲取數據中更詳盡的信息。具體操作,請參見交互事件。
創建定時SQL任務:日志服務提供定時SQL功能,用于定時分析數據、存儲聚合數據、投影與過濾數據。具體操作,請參見定時SQL。
日志聚類
在日志聚類頁簽中,單擊開啟日志聚類,可實現在采集日志時聚合相似度高的日志。具體操作,請參見日志聚類。
SQL增強
當您在使用SQL分析時,如果數據量較大,日志服務無法在一次查詢中完整分析這個時間段內的所有日志。通過開啟SQL獨享版,增加計算資源,可以提升單次分析的數據量。更多信息,請參見開啟SQL獨享版。
Scan掃描
在某些場景下無法創建索引、沒有創建索引,但仍需要查詢或分析日志,可以使用掃描功能。更多信息,請參見掃描(Scan)日志。
告警
單擊
圖標,為查詢和分析結果設置告警。具體操作,請參見快速設置日志告警。
快速查詢
單擊
圖標,將某一查詢和分析語句保存為快速查詢。具體操作,請參見快速查詢。
分享
單擊
圖標,復制本頁面鏈接,分享給其他用戶。