本文列舉了Web Application Firewall(Web Application Firewall,簡稱WAF)3.0版本日誌管理的常見問題。
查詢不到部分日誌的原因?
除了WAF必選的日誌欄位,部分可選欄位日誌資訊預設不會被記錄,您需要手動勾選啟用這些可選欄位,例如您配置了自訂規則,建議您參考日誌欄位說明,勾選acl_action、acl_rule_id、acl_rule_type、acl_test欄位,以儲存觸發對應防護規則產生的相關日誌。
說明
可選欄位會使WAF日誌佔用更多的儲存容量,建議合理按照實際的業務需求對可選欄位進行勾選。
為什麼可以查看到大於設定儲存天數的日誌?
您有可能查看到大於設定儲存天數的日誌,例如設定了日誌資料儲存90天,卻能查看到90天前的日誌。這是正常現象,超出儲存天數的日誌在刪除視窗期內可能短暫可見,最多會延遲7天,延遲刪除的這部分日誌資料不會計入收費,也不會計入儲存容量。
雲產品接入ALB執行個體時,WAF日誌欄位remote_addr的取值是什麼
當ALB執行個體的配置不同,remote_addr欄位的取值會有所差異。
ALB執行個體配置 | remote_addr欄位取值 | |
ALB執行個體未啟用尋找真實用戶端源IP。 | 取值為與ALB執行個體直接建立串連的用戶端源IP。如果ALB前還有其他七層代理(例如CDN、DDoS高防),該欄位為ALB的上一級代理的IP。 | |
ALB執行個體啟用尋找真實用戶端源IP,且訪問執行個體的源IP在執行個體設定的可信IP列表內。 | 取值為X-Forwarded-For欄位內容。 | |
ALB執行個體啟用尋找真實用戶端源IP,且訪問執行個體的源IP不在執行個體設定的可信IP列表內。 | 取值為與ALB執行個體直接建立串連的用戶端源IP。如果ALB前還有其他七層代理(例如CDN、DDoS高防),該欄位為ALB的上一級代理的IP。 | |