Web Application Firewall (WAF) のログサービスを有効にすると、ログフィールドにデフォルト設定を使用したり、特定の保護対象オブジェクトに合わせて設定をカスタマイズしたりできます。このトピックでは、デフォルトおよびオブジェクトレベルのフィールド設定を使用して、保護対象オブジェクトの緩和ログを柔軟かつ一元的に管理する方法について説明します。
デフォルトのフィールド設定
デフォルトのフィールド設定では、配信するログフィールドを事前定義できます。設定が完了すると、その設定はすべての保護対象オブジェクトとログ配信タスクに自動的に適用されます。デフォルトのフィールドを設定するには、左側のナビゲーションウィンドウで、 を選択します。表示されたページで ログ設定 をクリックし、デフォルトのフィールド設定 タブに移動します。
設定項目 | 説明 |
必須フィールド | 必須フィールドは常に WAF ログに含まれます。必須フィールドは編集できません。フィールドの詳細については、「必須のログフィールド」をご参照ください。 |
オプションフィールド | これらのフィールドを WAF ログに含めるかどうかを手動で選択できます。WAF ログには、有効にしたオプションフィールドのみが記録されます。フィールドの詳細については、「オプションのログフィールド」をご参照ください。 説明 より多くのオプションフィールドを有効にすると、使用するログストレージ容量が増加します。ログストレージ容量に余裕がある場合は、より包括的なログ分析のために、より多くのオプションフィールドを有効にすることをお勧めします。 |
ストレージタイプ | [ログタイプ] 設定では、複数のログタイプとサンプリング比率を選択できます。サンプリング比率とは、生成されたログエントリのうち、ストレージと分析のために選択・収集される割合のことです。[ログタイプ] を選択した後、1% から 100% の範囲でサンプリング比率を選択できます。3 つの [ログタイプ] オプションは次のとおりです。
説明 ビジネスで包括的な監査と詳細な分析が必要な場合は、すべてのログストレージオプションを選択して、完全なログを記録してください。 |
デフォルトのフィールドを設定した後、保存 をクリックします。[操作は成功しました] メッセージが表示された場合、設定はグローバルに適用されます。デフォルトのフィールド設定を変更するには、デフォルトのフィールド設定 タブに戻り、設定を変更して保存します。
配信設定
配信設定では、単一の保護対象オブジェクトに対して、ログフィールドとストレージタイプを詳細に設定できます。保護対象オブジェクトに特定のフィールドとログストレージタイプを設定した場合、これらの設定はデフォルトのフィールド設定よりも優先されます。
WAF 3.0 Enterprise または Ultimate をサブスクライブし、ハイブリッドクラウドモードで保護対象オブジェクトを追加した場合、Kafka または SYSLOG を使用してそのオブジェクトのログを外部の宛先に配信することもできます。
SLS 配信ステータスの設定
配信設定で、保護対象オブジェクトのログ配信を有効または無効にできます。次の手順に従います。
WAF 3.0 コンソールにログインします。トップメニューバーで、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します
左側のナビゲーションウィンドウで、 を選択します。
ログサービス ページで、右上隅の ログ設定 をクリックします。配信設定 タブで、Simple Log Service 配信ステータス 列のスイッチをクリックして、ログ配信を有効または無効にします。スイッチがオン (
) の場合、配信が有効であることを示します。
バッチ操作を実行できます。そのためには、管理したい保護対象オブジェクトを選択し、Simple Log Service 配信を有効にする または Simple Log Service 配信を無効にする をクリックします。
SLS 配信フィールドの設定
SLS 配信フィールドを設定するには、左側のナビゲーションウィンドウで、 を選択します。表示されたページで ログ設定 をクリックします。配信設定 タブで、ターゲットの保護対象オブジェクトの Simple Log Service 配信フィールド 列にある フィールド設定 をクリックします。フィールド設定テーブルの説明に従って項目を設定します。設定が完了したら、OK をクリックします。操作が成功しました。 メッセージが表示された場合、設定は保護対象オブジェクトに適用されます。
外部配信ステータスの設定
ハイブリッドクラウドモードの保護対象オブジェクトのみが外部ログ配信をサポートします。
ログを外部の宛先に配信する前に、外部配信設定を追加する必要があります。そのためには、左側のナビゲーションウィンドウで、 を選択します。ログ設定 をクリックします。配信設定 タブで、Delivery Configurations をクリックして、右側に表示されるパネルで既存の設定を表示します。現在の設定がニーズに合わない場合は、発信配信設定を追加する をクリックします。次に、設定タイプを選択し、次の表の説明に従って設定を完了します。
SYSLOG 設定
設定項目 | 説明 |
設定タイプ | SYSLOG を選択します。 |
設定名 | この設定の名前を入力します。 |
サーバー IP/ポート | WAF ログを受信するためのパブリック IP アドレス (IPv4 形式) とポート情報を入力します。 |
RFC | WAF は RFC 3164 と RFC 5424 の 2 つの RFC 定義をサポートしています。ログ管理システムと一致する RFC を入力します。 |
プロトコル | TCP と UDP がサポートされています。 TCP と UDP のどちらを選択するかは、ログデータ転送の信頼性、パフォーマンス、管理に関する要件によって異なります。ほとんどの集中ログシステム、特に再送や失われたデータのマーキングをサポートするシステムでは、TCP が一般的な選択肢です。UDP は通常、重要度の低い大量のログデータを迅速に処理する必要がある場合に使用されます。 |
KAFKA 設定
設定項目 | 説明 |
設定タイプ | KAFKA を選択します。 |
設定名 | この設定の名前を入力します。 |
TOPIC ID/名前 | 宛先 TOPIC の名前を入力します。 |
ドメイン | KAFKA インスタンスのクラスターエンドポイントを入力します。 説明 クラスターエンドポイントは、ドメイン名とポート、または IP アドレスとポートにすることができます。複数の IP アドレスまたはドメイン名はコンマ (,) で区切ります。例: kafka.aliyuncs.com:9093,127.0.0.1:9093,kafka2.aliyuncs.com:9093。 |
アクセスプロトコル | PLAINTEXT、SASL_PLAINTEXT、SASL_SSL の 3 つのセキュリティオプションがサポートされています。KAFKA クラスターのセキュリティ設定に基づいてオプションを選択します。 |
SASL ユーザー名 | アクセスプロトコルが SASL_PLAINTEXT または SASL_SSL の場合、ID 検証が必要です。KAFKA クラスターのユーザー名を入力します。 |
SASL パスワード | アクセスプロトコルが SASL_PLAINTEXT または SASL_SSL の場合、ID 検証が必要です。KAFKA クラスターのパスワードを入力します。 |
圧縮タイプ | gzip、zstd、lz4、snappy の 4 つの圧縮タイプがサポートされています。データを圧縮する必要がない場合は、none を選択します。 |
カスタム CA | アクセスプロトコルが SASL_SSL の場合、証明書を入力する必要があります。証明書の内容を入力します。 説明 証明書は -----BEGIN CERTIFICATE----- で始まり、-----END CERTIFICATE----- で終わる必要があります。 |
ニーズに合う外部配信設定が既に存在する場合は、配信設定 タブで保護対象オブジェクトを見つけます。発信配信ステータス 列のスイッチをクリックします。スイッチがオン () の場合、配信が有効であることを示します。表示されるダイアログボックスで、配信設定を選択します。
バッチ操作を実行するには、複数の保護対象オブジェクトを選択します。次に、リストの下部にある 一括処理 バーで、発信配信を有効にする または 発信配信を無効にする をクリックします。
外部配信フィールドの設定
ハイブリッドクラウドモードの保護対象オブジェクトのみが外部ログ配信をサポートします。
外部配信フィールド設定では、外部に配信されるログの [オプションフィールド] と [ストレージタイプ] を定義できます。これらの設定を行うには、左側のナビゲーションウィンドウで、 を選択します。ログ設定 をクリックします。配信設定 タブで、ターゲットの保護対象オブジェクトの 発信配信フィールド 列にある フィールド設定 をクリックします。フィールド設定テーブルの説明に従って項目を設定します。設定が完了したら、OK をクリックします。操作が成功しました。 メッセージが表示された場合、設定は保護対象オブジェクトに適用されます。