Web Application Firewall:Kueri log

Prasyarat

Sebelum memulai, pastikan bahwa:

• Fitur Simple Log Service (SLS) for WAF diaktifkan. Untuk detailnya, lihat Aktifkan atau nonaktifkan fitur Simple Log Service for WAF.

• Layanan web telah ditambahkan ke WAF 3.0 sebagai objek yang dilindungi. Untuk detailnya, lihat Konfigurasi objek yang dilindungi dan kelompok objek yang dilindungi.

• Pengiriman log diaktifkan untuk objek yang dilindungi yang ingin Anda kueri. Untuk detailnya, lihat Kelola status pengiriman log.

Kueri dan analisis log

1. Masuk ke Konsol WAF 3.0. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah instans WAF. Wilayah yang didukung: Tiongkok daratan dan Di luar Tiongkok daratan.

2. Di panel navigasi kiri, pilih Detection and Response > Log Service.

3. Di bagian atas halaman Log Service, pilih objek yang dilindungi yang log-nya ingin Anda kueri.

   Penting

   Pastikan sakelar Status diaktifkan untuk objek yang dilindungi yang dipilih. Jika pengiriman log dinonaktifkan, WAF berhenti mengumpulkan log untuk objek tersebut dan tidak ada log yang tersedia untuk dikueri atau dianalisis. Untuk mengaktifkan pengiriman log, cari objek yang dilindungi di halaman ini, klik namanya, lalu aktifkan sakelar Status. Atau, buka Log Configuration > Delivery Settings dan kelola pengiriman log di kolom Status of Delivery to Simple Log Service. Untuk detailnya, lihat Kelola status pengiriman log.

   

4. Masukkan pernyataan kueri dan jalankan untuk mencari serta menganalisis log.

   1. Di kotak pencarian (diberi label 1 pada gambar), masukkan pernyataan pencarian. Tulis pernyataan pencarian menggunakan sintaks pencarian Simple Log Service. Gunakan field log WAF sebagai field pencarian bila diperlukan. Untuk daftar field log yang didukung, lihat Field log. Jika Anda tidak terbiasa dengan sintaks pencarian, klik Advanced Search di atas kotak pencarian. Tentukan kondisi pencarian lalu klik Search — pernyataan pencarian yang sesuai akan dibuat secara otomatis. Kondisi pencarian berikut tersedia:

      Kondisi pencarian	Deskripsi
      IP	Alamat IP klien yang mengirim permintaan.
      Request ID	Identifier unik yang diberikan WAF untuk setiap permintaan klien. WAF menyertakan ID permintaan pada halaman blokir dan halaman tantangan CAPTCHA. Gunakan ID permintaan untuk menyelidiki dan melakukan troubleshooting permintaan tertentu.
      Rule ID	ID aturan perlindungan WAF yang sesuai dengan permintaan. Temukan ID aturan di halaman Rule Configuration, atau ambil dari catatan kecocokan aturan di halaman Security Reports. Untuk detailnya, lihat Laporan keamanan.
      Status Code Returned From Origin Server	Kode status HTTP yang dikembalikan server origin sebagai respons terhadap permintaan yang diteruskan oleh WAF.
      Status Code Returned From WAF	Kode status HTTP yang dikembalikan WAF ke klien.
      Protection Module	Modul perlindungan WAF yang sesuai dengan permintaan. Untuk detail tentang modul perlindungan dan konfigurasinya, lihat Ikhtisar konfigurasi perlindungan.

   2. (Opsional) Untuk menjalankan perhitungan atau operasi statistik pada hasil pencarian, tambahkan pernyataan analitik ke pernyataan pencarian menggunakan tanda pipa vertikal (|) sebagai pemisah. Tulis pernyataan analitik dalam sintaks SQL-92 standar. Untuk detailnya, lihat Ikhtisar analisis log.

   3. Gunakan pemilih waktu (diberi label 2 pada gambar) untuk mengatur rentang waktu kueri.

   4. Klik Search & Analyze (diberi label 3 pada gambar). Hasil kueri muncul di bagian bawah halaman: histogram distribusi log di bagian atas, diikuti oleh tab Raw Logs, Graph, dan LogReduce.

   

Jelajahi hasil kueri

Setelah menjalankan kueri, gunakan halaman hasil untuk menyelidiki log, membuat grafik, dan menyiapkan alert. Bagian-bagian berikut menjelaskan alat yang tersedia.

Ikhtisar halaman

Histogram

Histogram menunjukkan distribusi log selama rentang waktu yang dikueri. Setiap persegi panjang hijau mewakili interval waktu.

• Arahkan kursor ke persegi panjang untuk melihat interval waktu dan jumlah log yang dikembalikan di dalamnya.

• Klik ganda persegi panjang untuk memperbesar interval waktu tersebut guna mendapatkan tampilan yang lebih rinci. Tab Raw Logs diperbarui untuk hanya menampilkan log dalam interval yang dipilih.

Raw Logs

Detail log

Action	Description
Table / Raw Data	Beralih antara tampilan tabel dan tampilan log mentah.
 > Download Log	Unduh hasil log saat ini ke komputer Anda. Untuk detailnya, lihat Unduh log.
 > JSON Configurations	Atur tipe tampilan dan tingkat ekspansi untuk field JSON.
 > Event Settings	Konfigurasi event untuk log mentah. Untuk detailnya, lihat Pengaturan event.
	Salin konten log.
	Beri label informasi tertentu atau informasi error kueri dalam log. Ikon ini juga menyediakan bantuan copilot.
	Lihat informasi konteks untuk entri log tertentu dalam file log mentah. Hanya tersedia untuk log yang dikumpulkan oleh Logtail. Untuk detailnya, lihat Kueri kontekstual.
	Pantau konten log secara real time dan ekstrak informasi log utama. Hanya tersedia untuk log yang dikumpulkan oleh Logtail. Untuk detailnya, lihat LiveTail.

Bidang yang Ditampilkan

Bidang yang ditampilkan muncul di panel konten log di sebelah kanan. Sesuaikan bidang mana saja yang ditampilkan tergantung pada jenis analisis yang Anda lakukan — misalnya, fokus pada IP dan Rule ID saat menyelidiki potensi serangan, atau pada kode status saat melakukan troubleshooting error origin.

Action	Description
Arahkan kursor ke bidang > klik	Hapus bidang dari Displayed Fields. Bidang tersebut tidak lagi muncul di panel konten log.
	Simpan tampilan bidang saat ini ke favorit Anda. Pilih tampilan yang disimpan dari daftar drop-down di atas panel bidang.
 > Tag Settings	Tambahkan bidang sebagai tag sistem.
 > Alias	Ganti nama bidang dengan alias. Bidang tanpa alias tetap menggunakan nama aslinya. Untuk detail cara menetapkan alias, lihat Buat indeks.

Bidang yang diindeks

Action	Description
Arahkan kursor ke bidang > klik	Tambahkan bidang ke Displayed Fields agar muncul di panel konten log.
	Lihat detail bidang, termasuk Basic Distribution dan Statistical Metrics. Untuk detailnya, lihat Pengaturan bidang.

Graph

Simple Log Service merender hasil kueri sebagai grafik — tabel, grafik garis, grafik kolom, dan lainnya. Untuk daftar lengkap jenis grafik, lihat Grafik.

Aksi tambahan di tab Graph:

Action	Description
Add to New Dashboard	Simpan grafik saat ini ke dasbor untuk pemantauan berkelanjutan. Untuk detailnya, lihat Ikhtisar visualisasi.
Save as Scheduled SQL Job	Jalankan analisis ini secara otomatis sesuai jadwal dan agregasi atau simpan hasilnya. Untuk detailnya, lihat Cara kerja Scheduled SQL.
Interaction Occurrences	Telusuri dimensi data tertentu untuk analisis yang lebih rinci. Untuk detailnya, lihat Konfigurasi kejadian interaksi untuk dasbor guna melakukan analisis drill-down.

LogReduce

Klik Enable LogReduce untuk mengelompokkan log yang serupa selama pengumpulan log. Untuk detailnya, lihat LogReduce.

SQL Enhancement

Klik ikon di pojok kanan atas untuk mengaktifkan Dedicated SQL. Standard SQL mungkin tidak dapat memproses semua data dalam satu kueri ketika set data berukuran besar atau mencakup rentang waktu yang panjang. Dedicated SQL meningkatkan sumber daya komputasi yang tersedia dan jumlah data yang dapat dianalisis per kueri. Untuk detailnya, lihat Aktifkan Dedicated SQL.

Alerting

Klik ikon di pojok kanan atas untuk mengonfigurasi aturan alert berdasarkan kueri saat ini. Untuk detailnya, lihat Konfigurasi aturan alert di Simple Log Service.

Saved search

Klik ikon di pojok kanan atas untuk menyimpan pernyataan kueri saat ini sebagai pencarian tersimpan untuk digunakan kembali dengan cepat. Untuk detailnya, lihat Pencarian tersimpan.

Sharing

Klik ikon di pojok kanan atas untuk menyalin tautan yang dapat dibagikan ke halaman saat ini. Untuk detailnya, lihat Sematkan halaman konsol dan bagikan data log.