Ketika penyimpanan log WAF mencapai kapasitas maksimum, pencatatan log baru akan berhenti—berpotensi menyebabkan event keamanan tidak terdeteksi dan jejak audit menjadi tidak lengkap. Topik ini menjelaskan empat metode untuk mengatasi masalah penyimpanan log penuh serta situasi yang paling sesuai untuk masing-masing metode.
Dampak potensial
Penyimpanan log penuh dapat menyebabkan masalah berikut:
Log loss: Log baru tidak dapat direkam, sehingga data event keamanan hilang secara permanen.
Missed threats: Layanan analisis keamanan yang bergantung pada log WAF mungkin gagal mendeteksi dan merespons serangan tepat waktu.
Compliance violations: Industri yang mewajibkan retensi log untuk keperluan audit dapat menghadapi pelanggaran regulasi jika log tidak lengkap.
Pilih metode
Gunakan tabel berikut untuk memilih metode yang paling sesuai dengan situasi Anda:
| Metode | Apa yang dilakukan | Paling cocok untuk |
|---|---|---|
| Upgrade log storage space | Meningkatkan kapasitas total | Solusi segera; bisnis memerlukan cakupan log penuh |
| Reduce log fields per protected object | Merekam lebih sedikit field atau tipe log untuk objek non-kritis | Kontrol detail halus tanpa kehilangan cakupan kritis |
| Reduce log storage duration | Memperpendek durasi penyimpanan log | Log yang lebih tua dari periode retensi yang diperlukan aman untuk dihapus |
| Reduce log index fields | Menghapus indeks pencarian yang tidak digunakan untuk mengosongkan ruang indeks | Ruang indeks turut menyumbang penggunaan penyimpanan selain penyimpanan data log |
Upgrade penyimpanan adalah satu-satunya metode yang mempertahankan cakupan log penuh. Ketiga metode lainnya mengorbankan cakupan atau periode retensi demi penghematan ruang—tinjau persyaratan kepatuhan Anda sebelum menerapkannya.
Upgrade log storage space
Hanya instansi subscription edisi Pro, Enterprise, dan Ultimate yang mendukung peninjauan dan peningkatan kapasitas penyimpanan log. Instansi pay-as-you-go ditagih berdasarkan penggunaan aktual dan dikelola oleh Simple Log Service, sehingga tidak memiliki batas kapasitas dan tidak memerlukan konfigurasi kapasitas log terpisah.
Masuk ke Web Application Firewall 3.0 console. Di bilah navigasi kiri, pilih Detection and Response > Log Service, lalu klik Upgrade Storage di pojok kanan atas.
Pilih spesifikasi Log Storage Capacity yang lebih besar dan selesaikan pembelian.
Reduce log fields per protected object
LogShipper mendukung konfigurasi field dan tipe log detail halus di tingkat masing-masing objek yang dilindungi. Pengaturan yang diterapkan pada objek tertentu akan menggantikan default field settings.
Untuk objek yang dilindungi non-kritis, batasi pencatatan log hanya pada field dan tipe yang terkait serangan. Untuk objek kritis, pertahankan cakupan field penuh guna mendukung audit komprehensif.
Masuk ke Web Application Firewall 3.0 console. Di bilah navigasi kiri, pilih Detection and Response > Log Service, lalu klik Log Configuration > Delivery Settings di pojok kanan atas.
Di tab Delivery Settings, klik Field Settings di kolom Field of Delivery to Simple Log Service untuk objek yang dilindungi target, lalu konfigurasikan parameter berikut:
Untuk mengurangi penggunaan penyimpanan, pilih hanya Block Logs dan atur rasio sampling lebih rendah untuk Normal Request Logs atau nonaktifkan sepenuhnya untuk objek non-kritis. Jika bisnis Anda memerlukan audit komprehensif, aktifkan semua tipe log dengan rasio sampling 100%.
Parameter Deskripsi Required fields Selalu disertakan dalam log WAF. Tidak dapat diedit. Untuk daftar lengkap, lihat Required log fields. Optional fields Pilih secara manual field mana yang akan disertakan. Hanya field yang diaktifkan yang direkam. Mengaktifkan lebih banyak field opsional meningkatkan penggunaan penyimpanan. Untuk daftar lengkap, lihat Optional log fields. Log type Pilih satu atau beberapa tipe log dan atur rasio sampling (1%–100%) untuk masing-masing. Rasio sampling mengontrol persentase entri log yang dihasilkan yang dikumpulkan dan disimpan. Tipe log yang tersedia: Block Logs (permintaan yang gagal mencapai origin server karena memicu kebijakan keamanan, seperti Block, validasi JS, verifikasi slider, atau perlindungan token dinamis), Detection Logs (permintaan yang hanya memicu aturan observasi), dan Normal Request Logs (permintaan yang lolos semua pemeriksaan, termasuk validasi JS, verifikasi slider, dan verifikasi token dinamis). Klik OK. Saat pesan The operation is successful muncul, konfigurasi telah aktif untuk objek yang dilindungi yang dipilih.
Reduce log storage duration
Masuk ke Web Application Firewall 3.0 console. Di bilah navigasi kiri, pilih Detection and Response > Log Service, lalu klik Storage Duration di pojok kanan atas untuk membuka Simple Log Service console.
Di panel Logstore Attributes, klik Modify di pojok kanan atas, kurangi Data Retention Period, lalu klik Save.
Penting- Sebelum memperpendek periode retensi, pastikan pengaturan baru mematuhi persyaratan regulasi dan kepatuhan Anda. Retensi yang tidak mencukupi dapat menyebabkan pelanggaran kepatuhan. - Saat periode retensi mencapai jumlah hari yang ditetapkan, log yang melebihi periode tersebut akan dihapus secara otomatis. Misalnya, mengurangi periode retensi dari 30 hari menjadi 7 hari dapat menghemat ruang penyimpanan signifikan tanpa kehilangan data kritis.
Reduce log index fields
Indeks memungkinkan pencarian dan analisis log cepat di Simple Log Service, tetapi mengonsumsi ruang penyimpanan tambahan. Menghapus indeks yang tidak digunakan mengurangi penggunaan ruang indeks tanpa memengaruhi konten log yang tersimpan.
Metode ini hanya mengurangi ruang indeks—tidak mengurangi ruang penyimpanan yang digunakan oleh data log. Untuk mengurangi penyimpanan data log, gunakan Reduce log fields per protected object atau Reduce log storage duration sebagai gantinya.
Masuk ke Simple Log Service console. Di Project list, klik proyek target yang namanya diawali dengan
wafng.
Di bilah navigasi kiri, klik Log Storage
, lalu di Logstore list, klik Logstore target.
Di halaman kueri dan analisis, pilih Index Attributes > Attributes.
Di panel Search & Analysis, nonaktifkan sakelar Auto-update. Saat Logstore saat ini merupakan Logstore produk cloud khusus atau Logstore internal, sakelar Auto-update diaktifkan secara default dan area Field Search dinonaktifkan.
PeringatanJika Anda telah mengonfigurasi laporan atau alert kustom di Simple Log Service, menghapus indeks dari Logstore produk WAF dapat merusak laporan dan alert tersebut.
Di area Field Search, hapus indeks field yang tidak diperlukan, lalu klik OK.
