Layanan log WAF mendukung dua tingkat konfigurasi field: pengaturan field default yang berlaku secara global untuk semua objek yang dilindungi, serta pengaturan pengiriman per objek yang menggantikan pengaturan default untuk objek tertentu. Gunakan pengaturan field default jika Anda memerlukan garis dasar yang konsisten di seluruh objek. Gunakan pengaturan pengiriman per objek jika Anda membutuhkan field atau target pengiriman yang berbeda untuk masing-masing objek.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Mengaktifkan layanan log untuk instans Web Application Firewall (WAF) Anda
(Untuk pengiriman eksternal) Memiliki langganan WAF 3.0 Enterprise atau Ultimate dengan setidaknya satu objek yang dilindungi dalam mode cloud hibrida
Pengaturan field default
Pengaturan field default menentukan field log dan tipe log yang dikumpulkan untuk semua objek yang dilindungi. Setiap objek yang dilindungi tanpa konfigurasi pengiriman per objek akan mewarisi pengaturan ini.
Untuk membuka pengaturan field default, buka Detection and Response > Log Service, klik Log Configuration di pojok kanan atas, lalu pilih tab Default Field Settings.
| Parameter | Deskripsi |
|---|---|
| Required fields | Selalu disertakan dalam log WAF. Tidak dapat diedit. Lihat Required log fields. |
| Optional fields | Hanya disertakan jika diaktifkan. Mengaktifkan lebih banyak field opsional akan meningkatkan penggunaan penyimpanan log. Lihat Optional log fields. |
| Log type | Pilih satu atau beberapa tipe log untuk dikumpulkan. Untuk setiap tipe log yang dipilih, atur rasio sampling antara 1% hingga 100%. Rasio sampling mengontrol persentase permintaan yang sesuai yang direkam. |
Tiga tipe log tersebut adalah:
Block Log: Mencatat permintaan yang diblokir sebelum mencapai origin server karena kebijakan keamanan, termasuk perlindungan Block, validasi JS, verifikasi slider, dan token dinamis.
Detection Logs: Mencatat permintaan yang hanya memicu aturan pengamatan.
Normal Request Logs: Hanya mencatat log permintaan normal. Log untuk permintaan yang lolos validasi JS, verifikasi slider, dan verifikasi token dinamis juga dicatat sebagai log permintaan normal.
Untuk audit komprehensif dan analisis mendalam, pilih semua opsi penyimpanan log untuk mencatat log lengkap.
Setelah menyelesaikan konfigurasi, klik Save. Pesan Operation Successful mengonfirmasi bahwa pengaturan diterapkan secara global ke semua objek yang dilindungi.
Pengaturan pengiriman
Pengaturan pengiriman memungkinkan Anda mengonfigurasi field log dan target pengiriman untuk objek yang dilindungi tertentu. Jika dikonfigurasi, pengaturan ini memiliki prioritas lebih tinggi daripada pengaturan field default untuk objek tersebut.
WAF mendukung dua tujuan pengiriman:
Simple Log Service (SLS): Tersedia untuk semua objek yang dilindungi
External delivery (Kafka atau SYSLOG): Hanya tersedia untuk objek yang dilindungi dalam mode cloud hibrida pada WAF 3.0 Enterprise atau Ultimate
Aktifkan atau nonaktifkan pengiriman SLS
Masuk ke Konsol WAF 3.0. Di bilah menu atas, pilih kelompok sumber daya dan wilayah instans WAF Anda (Chinese Mainland atau Outside Chinese Mainland).
Buka Detection and Response > Log Service.
Klik Log Configuration di pojok kanan atas, lalu pilih tab Delivery Settings.
Di kolom Status of Delivery to Simple Log Service, klik sakelar untuk objek yang dilindungi target. Sakelar yang aktif (
) menunjukkan bahwa pengiriman diaktifkan.
Untuk mengaktifkan atau menonaktifkan pengiriman untuk beberapa objek sekaligus, pilih objek yang dilindungi tersebut lalu klik Enable Delivery to Simple Log Service atau Disable Delivery to Simple Log Service.
Konfigurasikan field pengiriman SLS
Di tab Delivery Settings, klik Field Settings di kolom Field of Delivery to Simple Log Service untuk objek yang dilindungi target. Konfigurasikan field opsional, lalu klik OK. Pesan The operation is successful. mengonfirmasi bahwa pengaturan diterapkan pada objek yang dilindungi tersebut.
Konfigurasikan pengiriman eksternal
Hanya objek yang dilindungi dalam mode cloud hibrida yang mendukung pengiriman eksternal.
Sebelum mengaktifkan pengiriman eksternal untuk objek yang dilindungi, tambahkan konfigurasi pengiriman eksternal:
Di tab Delivery Settings, klik Delivery Configurations untuk membuka panel konfigurasi.
Jika tidak ada konfigurasi yang ada yang memenuhi kebutuhan Anda, klik Configure External Delivery dan pilih tipe konfigurasi: SYSLOG atau KAFKA.
Lengkapi konfigurasi menggunakan parameter pada tabel berikut.
Konfigurasi SYSLOG
| Parameter | Deskripsi |
|---|---|
| Configuration type | Pilih SYSLOG. |
| Configuration name | Masukkan nama untuk konfigurasi ini. |
| Server IP/Port | Masukkan Alamat IPv4 publik dan Port server yang menerima log WAF. |
| RFC | Pilih definisi RFC yang digunakan oleh sistem manajemen log Anda: RFC 3164 atau RFC 5424. |
| Protocol | Pilih TCP atau UDP. TCP cocok untuk sistem log terpusat yang memerlukan pengiriman andal dengan dukungan pengiriman ulang. UDP cocok untuk data log ber-volume tinggi dengan prioritas lebih rendah di mana kecepatan lebih diutamakan daripada jaminan pengiriman. |
Konfigurasi Kafka
| Parameter | Deskripsi |
|---|---|
| Configuration type | Pilih KAFKA. |
| Configuration name | Masukkan nama untuk konfigurasi ini. |
| TOPIC ID/Name | Masukkan nama topik Kafka tujuan. |
| Domain | Masukkan titik akhir kluster instans Kafka Anda. Titik akhir dapat berupa nama domain dan port, atau alamat IP dan port. Pisahkan beberapa titik akhir dengan koma. Contoh: kafka.aliyuncs.com:9093,127.0.0.1:9093,kafka2.aliyuncs.com:9093 |
| Access protocol | Pilih protokol keamanan untuk kluster Kafka Anda: PLAINTEXT, SASL_PLAINTEXT, atau SASL_SSL. |
| SASL username | Diperlukan untuk SASL_PLAINTEXT dan SASL_SSL. Masukkan username untuk kluster Kafka Anda. |
| SASL password | Diperlukan untuk SASL_PLAINTEXT dan SASL_SSL. Masukkan password untuk kluster Kafka Anda. |
| Compression type | Pilih tipe kompresi: gzip, zstd, lz4, snappy, atau none. |
| Custom CA | Diperlukan untuk SASL_SSL. Masukkan konten sertifikat CA. Sertifikat harus dimulai dengan -----BEGIN CERTIFICATE----- dan diakhiri dengan -----END CERTIFICATE-----. |
Aktifkan atau nonaktifkan pengiriman eksternal
Setelah menambahkan konfigurasi pengiriman eksternal, temukan objek yang dilindungi di tab Delivery Settings. Klik sakelar di kolom Status of External Delivery. Di kotak dialog yang muncul, pilih konfigurasi pengiriman. Sakelar yang aktif () menunjukkan bahwa pengiriman eksternal diaktifkan.
Untuk mengaktifkan atau menonaktifkan pengiriman eksternal untuk beberapa objek sekaligus, pilih objek yang dilindungi tersebut lalu gunakan bilah Batch Manage di bagian bawah daftar untuk mengklik Enable External Delivery atau Disable External Delivery.
Konfigurasikan field pengiriman eksternal
Hanya objek yang dilindungi dalam mode cloud hibrida yang mendukung pengiriman eksternal.
Di tab Delivery Settings, klik Field Settings di kolom Field of External Delivery untuk objek yang dilindungi target. Konfigurasikan field opsional dan tipe penyimpanan, lalu klik OK. Pesan The operation is successful. mengonfirmasi bahwa pengaturan diterapkan pada objek yang dilindungi tersebut.
Langkah berikutnya
Fields in logs: Lihat daftar lengkap field log wajib dan opsional beserta deskripsinya.