全部产品
Search

搜索本产品

    Web Application Firewall:Kueri log

    文档中心

    Web Application Firewall:Kueri log

    更新时间:Jul 06, 2025

    Jika fitur pengumpulan log diaktifkan untuk nama domain yang ditambahkan ke WAF, Anda dapat menggunakan fitur ini untuk mengkueri dan menganalisis log yang dikumpulkan dari nama domain secara real-time. Anda juga dapat mengonfigurasi grafik dan membuat aturan peringatan berdasarkan hasil kueri dan analisis.

    Prasyarat

    Fitur Layanan Log Sederhana untuk WAF harus diaktifkan. Untuk informasi lebih lanjut, lihat Memulai dengan Fitur Layanan Log Sederhana untuk WAF.

    Kueri dan analisis log

    1. Masuk ke Konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah tersebut bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sebelah kiri, pilih Security Operations > Log Service.

    3. Pilih nama domain dari daftar drop-down nama domain dan aktifkan Status untuk mengaktifkan pengumpulan log untuk nama domain tersebut. enable log collection

      Daftar drop-down nama domain, yang ditandai sebagai 1 pada gambar sebelumnya, hanya berisi nama domain yang dilindungi oleh WAF. Jika nama domain yang ingin Anda aktifkan pengumpulan log tidak terdapat dalam daftar drop-down, tambahkan nama domain ke WAF. Untuk informasi lebih lanjut, lihat Tutorial.

    4. Pada tab Log Search, jalankan pernyataan pencarian untuk mengkueri dan menganalisis log dari objek yang dilindungi yang Anda pilih. Query logs

      1. Masukkan pernyataan pencarian di kotak pencarian yang ditandai sebagai 1 pada gambar sebelumnya.

        Pernyataan pencarian yang Anda masukkan harus menggunakan sintaksis yang spesifik untuk Layanan Log. Untuk informasi lebih lanjut tentang sintaksis, lihat Sintaksis Pencarian dan Fungsi. Field log yang termasuk dalam log WAF digunakan sebagai field pencarian dalam pernyataan pencarian. Untuk informasi lebih lanjut tentang field log yang didukung oleh WAF, lihat Field Log yang Didukung oleh WAF.

        Jika Anda tidak terbiasa dengan sintaksis pencarian, kami sarankan Anda menggunakan fitur Advanced Search. Untuk menggunakan fitur Pencarian Lanjutan, Anda hanya perlu memperluas Advanced Search di atas kotak pencarian, tentukan kondisi pencarian, lalu klik Search. Pernyataan pencarian akan otomatis dibuat di kotak pencarian berdasarkan kondisi pencarian. Tabel berikut menjelaskan kondisi pencarian yang didukung oleh fitur Pencarian Lanjutan.

        Kondisi pencarian

        Deskripsi

        IP

        Alamat IP klien yang mengirim permintaan.

        Request ID

        ID unik yang dihasilkan oleh WAF untuk permintaan klien. ID ini disediakan ketika WAF mengembalikan halaman kesalahan atau halaman respons yang meminta klien menyelesaikan verifikasi CAPTCHA slider kepada klien. Anda dapat menggunakan ID ini untuk menganalisis dan memecahkan kesalahan.

        Rule ID

        ID aturan perlindungan WAF yang cocok dengan permintaan. Anda dapat memperoleh ID ini di halaman Security Report atau dengan memilih System Management > Protection Rule Group.

        Server Response Code

        Kode status HTTP yang dikirim server asal sebagai respons terhadap permintaan dari WAF.

        Status Code Returned by WAF

        Kode status HTTP yang dikirim WAF sebagai respons terhadap permintaan dari klien.

        Protection Features

        Tipe aturan perlindungan WAF yang cocok dengan permintaan. Untuk informasi lebih lanjut tentang aturan perlindungan WAF dan metode konfigurasinya, lihat Ikhtisar.

      2. Jika Anda ingin menghitung dan menganalisis hasil kueri, Anda harus memasukkan pernyataan analitik setelah pernyataan pencarian di kotak pencarian. Jika Anda hanya ingin mengkueri log yang memenuhi kondisi pencarian, lewati langkah ini.

        Pernyataan analitik dan pernyataan pencarian dipisahkan oleh garis vertikal (|). Pernyataan analitik menggunakan sintaksis SQL-92 standar. Untuk informasi lebih lanjut tentang pernyataan analitik, lihat Ikhtisar Kueri dan Analisis Log.

      3. Tentukan rentang waktu kueri menggunakan pemilih waktu yang ditandai sebagai 2 pada gambar sebelumnya.

      4. Klik Search & Analyze yang ditandai sebagai 3 pada gambar sebelumnya.

        Di bagian bawah halaman, Anda dapat melihat hasil kueri dan analisis dalam histogram log serta pada tab Raw Logs dan Graph. Anda dapat melakukan berbagai operasi berdasarkan hasil kueri dan analisis, seperti analisis cepat, pembuatan grafik, dan konfigurasi peringatan. Untuk informasi lebih lanjut, lihat Kelola Hasil Kueri dan Analisis dan Buat Aturan Peringatan.

      Untuk lebih banyak contoh kueri dan analisis log, lihat bagian "Contoh Kueri dan Analisis" dalam topik ini.

    Kelola hasil kueri dan analisis

    Layanan Log untuk WAF menampilkan hasil kueri dan analisis dalam histogram log, pada tab Log Mentah, dan pada tab Grafik. Layanan Log untuk WAF juga memungkinkan Anda melakukan operasi tindak lanjut pada hasil tersebut, seperti mengonfigurasi peringatan dan membuat pencarian tersimpan.

    • Histogram Log

      Histogram log menunjukkan rincian log yang dikueri dalam rentang waktu yang berbeda. Log histogram

      • Jika Anda mengarahkan penunjuk ke persegi panjang hijau, Anda dapat melihat rentang waktu yang diwakili oleh persegi panjang dan jumlah log yang diperoleh dalam rentang waktu tersebut.

      • Jika Anda mengklik persegi panjang hijau, Anda dapat melihat rincian log yang lebih rinci. Anda juga dapat melihat hasil kueri dan analisis pada tab Raw Logs.

    • Log Mentah

      Anda dapat melihat detail setiap log pada tab Raw Logs. Raw logs

      • Analisis Cepat

        Anda dapat mengklik ikon alias untuk menentukan apakah akan menampilkan nama atau alias field. Anda dapat membuat alias saat mengonfigurasi indeks. Sebagai contoh, jika alias dari host_name adalah host, host akan ditampilkan dalam daftar Analisis Cepat setelah Anda memilih Tampilkan Alias Field.

        Catatan

        Jika sebuah field tidak memiliki alias, nama field akan tetap ditampilkan dalam daftar Analisis Cepat meskipun Anda memilih Tampilkan Alias Field.

        Untuk informasi lebih lanjut, lihat Analisis Cepat.

      • Lihat Detail Log

        • Klik Table untuk melihat log dalam tabel.

        • Klik Raw Data untuk melihat log mentah.

          • Klik ikon copy untuk menyalin log.

          • Klik ikon details untuk melihat detail tag.

        • Klik New Line untuk menentukan apakah akan menampilkan log dalam beberapa baris.

        • Klik Time untuk menampilkan log dalam urutan kronologis.

        • Klik ikon downloads untuk mengunduh log ke komputer Anda. Unduh Log di Halaman Saat Ini, Unduh Semua Log dengan Cloud Shell, dan Unduh Semua Log Menggunakan Alat Baris Perintah didukung. Untuk informasi lebih lanjut, lihat Unduh Log.

        • Klik ikon setting dan konfigurasikan Tag Configurations, Column Settings, JSON Configurations, dan Event Settings.

    • Grafik

      Anda dapat melihat hasil kueri dan analisis pada tab Graph. Untuk melihat grafik pada tab Grafik, Anda harus memasukkan pernyataan analitik yang menggunakan sintaksis SQL-92 standar di kotak pencarian.

      • Ubah jenis grafik: Pilih jenis grafik berdasarkan kebutuhan bisnis Anda untuk melihat hasil kueri dan analisis. Untuk informasi lebih lanjut, lihat Konfigurasi Grafik.

      • Pratinjau grafik: Pratinjau grafik setelah Anda mengubah jenis grafik.

        Klik Add to New Dashboard untuk menambahkan grafik saat ini ke dasbor. Klik Download Log untuk mengunduh log ke komputer Anda. Download Log in Current Page, Download All Logs with Cloud Shell, dan Download All Logs Using Command Line Tool didukung. Untuk informasi lebih lanjut, lihat Unduh Log.

      • Ubah Pengaturan Grafik

        Operasi

        Deskripsi

        Konfigurasi Umum

        Konfigurasikan pengaturan global untuk grafik. Sebagai contoh, Anda dapat memilih skema warna untuk menampilkan hasil semua pernyataan kueri untuk grafik.

        Konfigurasi Field

        Konfigurasikan pengaturan tampilan personal untuk hasil pernyataan kueri tunggal atau untuk kolom data tunggal dalam hasil. Sebagai contoh, jika Anda memilih pernyataan kueri dan kemudian memilih skema warna, grafik akan dihasilkan berdasarkan hasil pernyataan kueri dan menggunakan skema warna yang Anda pilih.

        Konfigurasikan kejadian interaksi

        Anda dapat mengonfigurasi kejadian interaksi untuk hasil pernyataan kueri atau untuk kolom data tunggal dalam hasil untuk menganalisis data dari dimensi yang lebih rinci.

    • Tab LogReduce

      Pada tab LogReduce, klik Enable LogReduce untuk mengelompokkan log serupa. Untuk informasi lebih lanjut, lihat LogReduce.

    Buat aturan peringatan

    Anda dapat membuat aturan peringatan berdasarkan hasil kueri dan analisis. Setelah Anda membuat aturan peringatan, Layanan Log secara berkala memeriksa hasil kueri dan analisis terkait. Jika hasil kueri dan analisis memenuhi kondisi pemicu yang Anda tentukan dalam aturan peringatan, Layanan Log mengirimkan notifikasi peringatan. Dengan cara ini, status layanan dipantau secara real-time.

    Pada halaman kueri dan analisis, Anda dapat memilih Save as Alert > New Alert untuk mengonfigurasi peringatan berdasarkan hasil kueri dan analisis. Untuk informasi lebih lanjut, lihat Konfigurasikan Aturan Peringatan.

    Contoh kueri dan analisis

    • Kueri jumlah permintaan yang diblokir oleh fitur perlindungan WAF yang berbeda setiap seperempat jam. Hasilnya mencakup waktu serangan (time), jumlah permintaan yang diblokir oleh Mesin Aturan Perlindungan (wafmodule), permintaan yang diblokir oleh daftar hitam alamat IP dan kebijakan perlindungan kustom (aclmodule), serta permintaan yang diblokir oleh perlindungan flood HTTP dan kebijakan perlindungan kustom (httpfloodmodule).

      * |
SELECT
  time_series(__time__, '15m', '%H:%i', '0') as time,
  COUNT_if(final_plugin = 'waf') as "wafmodule",
  COUNT_if(final_plugin = 'acl') as "aclmodule",
  COUNT_if(final_plugin = 'cc') as "httpfloodmodule"
GROUP by
  time
ORDER by
  time

    • Kueri rincian fitur perlindungan (final_plugin) yang melakukan tindakan perlindungan. Hasilnya mencakup jumlah kali fitur perlindungan dipicu (times), nama domain yang diminta (host), dan fitur perlindungan (final_plugin).

      * |
SELECT
  count(*) as times,
  host,
  final_plugin
GROUP by
  host,
  final_plugin
ORDER by
  times desc

    • Kueri permintaan per detik (QPS) setiap seperempat jam. Hasilnya mencakup waktu kueri (time) dan QPS (QPS).

      * |
SELECT
  time_series(__time__, '15m', '%H:%i', '0') as time,
  count(*) / 900 as QPS
GROUP by
  time
ORDER by
  time

    • Kueri nama domain yang paling banyak menerima serangan flood HTTP. Hasilnya mencakup jumlah kali serangan flood HTTP diblokir (times) dan nama domain yang diminta (host).

      *
and acl_action :block |
SELECT
  count(*) as times,
  host
GROUP by
  host
ORDER by
  times desc

    • Kueri detail log tentang permintaan setiap detik. Hasilnya mencakup waktu permintaan (time), nama domain yang diminta (host), jalur permintaan (request_path), metode permintaan (request_method), kode status HTTP (status) yang direspons oleh WAF, kode status HTTP (upstream_status) yang direspons oleh server asal, dan string kueri (querystring).

      * |
SELECT
  date_format(date_trunc('second', __time__), '%H:%i:%s') as time,
  host,
  request_path,
  request_method,
  status,
  upstream_status,
  querystring
LIMIT
  10

    • Kueri 10 serangan terbaru pada situs web your_domain_name. Hasilnya mencakup waktu serangan (time), alamat IP asal klien (real_client_ip), dan tipe klien (http_user_agent).

      matched_host: your_domain_name
and final_action: block |
SELECT
  time,
  real_client_ip,
  http_user_agent
ORDER by
  time desc
LIMIT
  10

    • Kueri jumlah hari (days_passed) yang telah berlalu sejak serangan pada situs web your_domain_name diblokir oleh WAF. Nilai days_passed dibulatkan menjadi satu tempat desimal.

      matched_host: your_domain_name
and final_action: block |
SELECT
  time,
  round((to_unixtime(now())-__time__) / 86400, 1) as "days_passed",
  real_client_ip,
  http_user_agent
ORDER by
  time desc
LIMIT
  10

    • Kueri tren jumlah serangan pada situs web your_domain_name per hari.

      matched_host: your_domain_name
and final_action: block |
SELECT
  date_trunc('day', __time__) as dt,
  count(1) as PV
GROUP by
  dt
ORDER by
  dt

      Fungsi date_trunc digunakan untuk mengelompokkan waktu terjadinya serangan per hari. Untuk informasi lebih lanjut tentang fungsi ini, lihat Fungsi Tanggal dan Waktu.

    • Kueri rincian negara dari mana serangan diluncurkan ke situs web your_domain_name.

      matched_host: your_domain_name
and final_action: block |
SELECT
  ip_to_country(
    if(real_client_ip = '-', remote_addr, real_client_ip)
  ) as country,
  count(1) as "Number of attacks"
GROUP by
  country

      Field real_client_ip dalam log WAF menunjukkan alamat IP asal klien. Jika server proxy digunakan atau field IP dalam header permintaan tidak valid, alamat IP asal klien tidak dapat diperoleh. Dalam hal ini, nilai field real_client_ip ditampilkan sebagai tanda hubung -. Anda dapat menggunakan nilai field remote_addr sebagai alamat IP asal klien. Field remote_addr menunjukkan alamat IP yang digunakan untuk terhubung ke WAF.

    • Kueri rincian provinsi dari mana serangan diluncurkan ke situs web your_domain_name.

      matched_host: your_domain_name
and final_action: block |
SELECT
  ip_to_province(
    if(real_client_ip = '-', remote_addr, real_client_ip)
  ) as province,
  count(1) as "Number of attacks"
GROUP by
  province

      Fungsi ip_to_province digunakan untuk memperoleh informasi tentang provinsi di mana alamat IP asal klien berada. Untuk informasi lebih lanjut tentang fungsi ini, lihat Fungsi IP.