Web Application Firewall：混合雲日誌投遞

管理外發投遞配置

1. 登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中國內地、非中國內地）。

2. 在左側導覽列，選擇檢測與響應 > Log Service。，單擊頁面中的日誌設定後進入預設欄位設定頁簽。

3. 在默認欄位設定頁簽，可以對所有的投遞日誌設定預設投遞欄位。日誌欄位的具體含義請參見日誌欄位說明。

4. 在日誌設定頁面單擊投遞設定頁簽進入如下圖所示頁面。

5. 單擊外發投遞配置，進入外發投遞配置頁面。在該頁面，可以新增、編輯和刪除配置。首次配置混合雲日誌外發投遞時，請單擊新增外發投遞配置，並參照下表完成配置後，單擊儲存完成新增配置操作。為了滿足不同情境下的需求，WAF支援持有多個外發投遞配置，也支援為多個防護對象選擇相同的外發投遞配置。

   SYSLOG配置

   配置項	配置說明
   配置類型	選擇SYSLOG。
   配置名稱	填寫該配置的名稱。
   伺服器IP/連接埠	填寫IPv4格式的公網IP地址和連接埠資訊，以便接收WAF日誌的投遞。
   RFC	支援兩個 RFC 文檔定義RFC 3164和RFC 5424，填寫一個與您日誌管理系統一致的RFC。
   協議	支援TCP與UDP傳輸協議。 選擇 TCP 還是 UDP 取決於對日誌資料轉送的可靠性、效能和管理要求。對於大多數集中式日誌系統，特別是在支援重傳和丟失標記的情況下，TCP 是常用的選擇，而 UDP 通常用於需要快速處理大流量但不那麼重要的日誌資料。

   KAFKA配置

   配置項	配置說明
   配置類型	選擇KAFKA。
   配置類型	填寫該配置的名稱。
   TOPIC ID/名稱	填寫您要投遞的目標TOPIC名稱。
   網域名稱	填寫您的KAFKA的叢集地址。 說明 叢集地址可以是網域名稱加連接埠或者是IP加連接埠的形式。多個IP或網域名稱之間用逗號隔開。例如：kafka.aliyuncs.com:9093,127.0.0.1:9093,kafka2.aliyuncs.com:9093。
   接入協議	支援三種安全配置選項：PLAINTEXT、SASL_PLAINTEXT 和 SASL_SSL。請根據您的 KAFKA叢集的安全配置，選擇合適的選項。
   SASL使用者名稱	接入協議為SASL_PLAINTEXT或SASL_SSL需要進行身分識別驗證，請填寫您KAFKA叢集的使用者名稱。
   SASL密碼	接入協議為SASL_PLAINTEXT或SASL_SSL需要進行身分識別驗證，請填寫您KAFKA叢集的密碼。
   壓縮類型	支援gzip、zstd、lz4、snappy四種壓縮類型，如果不需要壓縮，請選擇none。
   自訂CA	接入協議為SASL_SSL需要填寫認證，請填寫您的認證內容。 說明 認證格式以-----BEGIN CERTIFICATE-----開頭，以-----END CERTIFICATE-----結尾。

   重要

   如果混合雲防護對象綁定了該投遞配置項，且外發投遞狀態為開啟狀態，則該配置項無法刪除，請先關閉日誌外發投遞服務，然後再進行刪除操作。

開啟或關閉日誌外發投遞

1. 外發投遞配置完成後，返回投遞設定頁面，找到目標防護對象，單擊外發投遞狀態列的表徵圖，開啟日誌外發投遞服務。

2. 設定完成後，如需查看日誌，可以通過您的Syslog或Kafka平台進行查詢操作，實現資料的即時擷取與分析。

3. 當您希望關閉日誌外發投遞時，可以返回投遞設定頁面，找到目標防護對象，關閉日誌外發投遞服務。

配置外發投遞欄位

外發投遞欄位配置用於定義日誌的可選欄位與儲存類型。請按以下步驟操作：

1. 在左側導覽列，選擇檢測與響應 > Log Service。

2. 單擊右上方日誌設定後進入頁面的投遞設定頁簽中，單擊目標防護對象的外發投遞欄位列的欄位配置，完成欄位設定表所示的配置項。

3. 單擊確定，若系統提示操作成功，則表明配置已對該防護對象生效。