Web Application Firewall(Web Application Firewall,簡稱WAF)開通Log Service後,支援您對投遞的日誌欄位進行預設配置和防護對象層級的自訂配置,本文將介紹如何使用預設欄位配置和防護對象級欄位配置,滿足您業務對於防護對象的防護日誌靈活、統一管理與配置的需求。
預設欄位設定
預設欄位設定允許您預先定義投遞的日誌欄位,設定完成後,該配置將自動應用於所有防護對象和日誌投遞任務。您可以在左側導覽列,選擇。單擊頁面中的日誌設定後進入頁面的默認欄位設定頁簽中,完成以下配置。
配置項 | 配置說明 |
必選欄位 | 必選欄位表示WAF日誌中一定包含的欄位,目前不支援您對必選欄位進行編輯,欄位詳情請參見必選日誌欄位說明。 |
可選欄位 | 可選欄位表示您可以手動選擇是否在WAF日誌中包含這些欄位。WAF日誌只會記錄您已啟用的可選欄位,欄位詳情請參見可選日誌欄位說明。 說明 啟用更多可選欄位將會增加WAF日誌的儲存容量使用。如果您有足夠的日誌儲存容量,建議啟用更多可選欄位以便更全面地進行日誌分析。 |
儲存類型 | 儲存類型配置支援您選擇多種日誌儲存類型與採樣比例,採樣比例指的是從所有產生的日誌條目中選取和收集用於儲存、分析的日誌條目的比例,採樣比例在選擇儲存類型後可選範圍為1%到100%。三種儲存類型的描述如下:
說明 如果您的業務需要全面審計和深入分析,請勾選全部的日誌儲存選項記錄全量日誌。 |
當您按照配置項完成預設欄位設定之後,單擊保存並看到操作成功提示後,代表當前配置已在全域生效。如您需要更改預設欄位配置,返回默認欄位設定頁簽中更改配置並確認儲存生效即可。
投遞設定
投遞設定允許對單個防護對象進行精細化欄位配置和日誌儲存類型設定,如果針對某個防護對象進行了特定的欄位和日誌儲存類型配置,設定後的欄位優先順序高於預設欄位設定。
若您開通了WAF 3.0訂用帳戶企業版、旗艦版並且接入了混合雲防護對象,該防護對象還可以通過Kafka或者SYSLOG的方式外發投遞日誌資訊。
設定SLS投遞狀態
在投遞設定中可以開啟或關閉防護對象的日誌投遞,步驟如下:
登入Web Application Firewall3.0控制台。在頂部功能表列,選擇WAF執行個體的資源群組和地區(中国内地、非中国内地)
在左側導覽列,選擇。
開啟或關閉日誌投遞,在Log Service頁面,單擊右上方日誌設定,選擇投遞設定頁簽,SLS投遞狀態列的開關狀態為
表示開啟。
支援大量操作,為多個防護對象開啟SLS投遞或者關閉SLS投遞。
設定SLS投遞欄位
您可以在左側導覽列,選擇。,單擊頁面中的日誌設定後進入頁面的投遞設定頁簽中,單擊目標防護對象的SLS投遞欄位列的欄位配置,完成欄位設定表所示的配置項。當您按照配置項完成SLS投遞欄位設定之後,單擊确定並看到操作成功提示後,代表當前配置已對單個防護對象生效。
設定外發投遞狀態
僅混合雲接入的防護對象支援日誌外發投遞。
在日誌外發之前需要新增外發投遞配置,您可以在左側導覽列,選擇。單擊頁面中的日誌設定後進入頁面的投遞設定頁簽中,點擊外发投递配置在右側面板中查看已有的配置,如果當前配置不滿足您外發投遞日誌的需求,請點擊新增外發投遞配置選擇配置類型後完成如下表所示的配置操作。
SYSLOG配置
配置項 | 配置說明 |
配置類型 | 選擇SYSLOG。 |
配置名稱 | 填寫該配置的名稱。 |
伺服器IP/連接埠 | 填寫IPv4格式的公網IP地址和連接埠資訊,以便接收WAF日誌的投遞。 |
RFC | 支援兩個 RFC 文檔定義RFC 3164和RFC 5424,填寫一個與您日誌管理系統一致的RFC。 |
協議 | 支援TCP與UDP傳輸協議。 選擇 TCP 還是 UDP 取決於對日誌資料轉送的可靠性、效能和管理要求。對於大多數集中式日誌系統,特別是在支援重傳和丟失標記的情況下,TCP 是常用的選擇,而 UDP 通常用於需要快速處理大流量但不那麼重要的日誌資料。 |
KAFKA配置
配置項 | 配置說明 |
配置類型 | 選擇KAFKA。 |
配置名稱 | 填寫該配置的名稱。 |
TOPIC ID/名稱 | 填寫您要投遞的目標TOPIC名稱。 |
網域名稱 | 填寫您的KAFKA的叢集地址。 說明 叢集地址可以是網域名稱加連接埠或者是IP加連接埠的形式。多個IP或網域名稱之間用逗號隔開。例如:kafka.aliyuncs.com:9093,127.0.0.1:9093,kafka2.aliyuncs.com:9093。 |
接入協議 | 支援三種安全配置選項:PLAINTEXT、SASL_PLAINTEXT 和 SASL_SSL。請根據您的 KAFKA叢集的安全配置,選擇合適的選項。 |
SASL使用者名稱 | 接入協議為SASL_PLAINTEXT或SASL_SSL需要進行身分識別驗證,請填寫您KAFKA叢集的使用者名稱。 |
SASL密碼 | 接入協議為SASL_PLAINTEXT或SASL_SSL需要進行身分識別驗證,請填寫您KAFKA叢集的密碼。 |
壓縮類型 | 支援gzip、zstd、lz4、snappy四種壓縮類型,如果不需要壓縮,請選擇none。 |
自訂CA | 接入協議為SASL_SSL需要填寫認證,請填寫您的認證內容。 說明 認證格式以-----BEGIN CERTIFICATE-----開頭,以-----END CERTIFICATE-----結尾。 |
如果已存在您需要的外發投遞配置,請在投遞設定頁面中找到需要外發投遞日誌的防護對象,外發投遞狀態列的開關狀態為表示開啟。並在提示彈窗中選擇投遞配置。
如果您想大量操作防護對象開啟外發投遞狀態,您可以先勾選多個防護對象後,在防護對象列表的下方找到大量操作欄,選擇開啟外發投遞或者關閉外發投遞。
設定外發投遞欄位
僅混合雲接入的防護對象支援日誌外發投遞。
外發投遞欄位設定允許您定義外發投遞的日誌可選欄位與儲存類型。在左側導覽列,選擇。單擊頁面中的日誌設定後進入頁面的投遞設定頁簽中,單擊目標防護對象的外發投遞欄位列的欄位配置,完成欄位設定表所示的配置項。當您按照配置項完成外發投遞欄位設定之後,單擊确定並看到操作成功提示後,代表當前配置已對單個防護對象生效。