Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Web Application Firewall/ Guía del usuario/ Habilitación de LTS para el registro de WAF
Actualización más reciente 2023-09-21 GMT+08:00
Ver PDF
Compartir

Habilitación de LTS para el registro de WAF

Después de autorizar a WAF a acceder a Log Tank Service (LTS), puede utilizar los registros WAF registrados por LTS para un análisis rápido y eficiente en tiempo real, la gestión de la operación del dispositivo y el análisis de las tendencias del servicio.

LTS analiza y procesa un gran número de registros. Le permite procesar registros en tiempo real, de manera eficiente y segura. Los registros se pueden almacenar en LTS durante siete días de forma predeterminada, pero puede configurar LTS durante hasta 30 días si es necesario. Los registros anteriores a 30 días se eliminan automáticamente. Sin embargo, puede configurar LTS para volcar esos registros en un bucket de Object Storage Service (OBS) o habilitar Data Ingestion Service (DIS) para el almacenamiento a largo plazo.

  • En la consola WAF, puede ver los registros de los últimos 30 días y descargar los registros de todos los sitios web protegidos durante los últimos cinco días.
  • LTS se factura por el tráfico y se factura por separado de WAF. Para obtener más información sobre los precios de LTS, consulte Detalles de precios de LTS.
  • Si ha habilitado proyectos de empresa, asegúrese de que tiene todos los permisos de operación para el proyecto en el que se encuentra la instancia WAF. A continuación, puede seleccionar el proyecto de la lista desplegable Enterprise Project y configurar el registro WAF.

Prerrequisitos

  • Usted ha comprado una instancia WAF.
  • El sitio web a proteger se ha agregado a WAF.

Restricciones

Puede habilitar LTS para el registro WAF en las siguientes regiones: CN-Hong Kong, AP-Bangkok,, y AP-Singapur.

Impacto en el sistema

Habilitación de LTS para WAF no afecta al rendimiento de WAF.

Habilitación de LTS para registro de eventos de protección WAF

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. En el panel de navegación de la izquierda, seleccione Events.
  5. Haga clic en la pestaña Configure Logs, habilite el (), LTS y seleccione un grupo de registro y un flujo de registro. Tabla 1 describe los parámetros.

    Figura 1 Configuración de registros
    Tabla 1 Configuración de registros

    Parámetro

    Descripción

    Valor de ejemplo

    Log Group

    Seleccione un grupo de registros o haga clic en View Log Group para ir a la consola LTS y crear un grupo de registros.

    Its-grupo-waf

    Attack Log

    Seleccione un flujo de registro o haga clic en View Log Stream para ir a la consola LTS y crear un flujo de registro.

    Un registro de ataque incluye información sobre el tipo de evento, la acción de protección y la dirección IP de origen de ataque de cada ataque.

    lts-topic-waf-attack

    Access Log

    Seleccione un flujo de registro o haga clic en View Log Stream para ir a la consola LTS y crear un flujo de registro.

    Un registro de acceso incluye información clave sobre el tiempo de acceso, la dirección IP del cliente y la URL de recursos de cada solicitud de acceso HTTP.

    lts-topic-waf-access

  6. Haga clic en OK.

    Puede ver los registros de eventos de protección WAF en la consola LTS.

Consulta de registros de eventos de protección WAF en LTS

Después de habilitar LTS, realice los siguientes pasos para ver y analizar los registros WAF en la consola LTS.

  1. Inicie sesión en la consola de gestión
  2. Vaya a la página de flujo de registro siguiendo los pasos que se muestran en Figura 2.

    Figura 2 Acceso a la página de gestión de registros

  3. Vea los registros de eventos de protección.

    • Vea los registros de ataques.
      1. En la lista de flujos de registro, haga clic en el nombre del flujo de registro (por ejemplo, lts-topic-waf-attack) configurado para los registros de ataques.
        Figura 3 Nombre del flujo de registro configurado para los registros de ataques
      2. Vea los registros de ataques. Figura 4 muestra un ejemplo.
        Figura 4 Consulta de registros de ataques
    • Ver registros de acceso.
      1. En la lista de flujos de registro, haga clic en el nombre del flujo de registro (por ejemplo, lts-topic-waf-access) configurado para los registros de acceso.
        Figura 5 Nombre del flujo de registro configurado para los registros de acceso
      2. Ver registros de acceso. Figura 6 muestra un ejemplo.
        Figura 6 Consulta de registros de acceso

Campo de WAF access_log

Campo

Tipo

Descripción de campo

Descripción

requestid

string

ID aleatorio

El valor es el mismo que los últimos ocho caracteres del campo req_id en el registro de ataques.

time

string

Tiempo en que se recibe una solicitud de acceso.

GMT hora en que se genera un registro.

eng_ip

string

Dirección IP del motor WAF

-

hostid

string

Identificador de nombre de dominio de la solicitud de acceso.

ID de nombre de dominio protegido (upstream_id).

tenantid

string

ID de cuenta

Su cuenta

projectid

string

ID del proyecto al que pertenece el nombre de dominio protegido

ID de proyecto de un usuario en una región específica.

remote_ip

string

Dirección IP desde la que se origina una solicitud de cliente.

Dirección IP desde la que se origina una solicitud de cliente.

AVISO:

Si se implementa un proxy de capa 7 delante de WAF, este campo indica la dirección IP del nodo proxy más cercano a WAF. La dirección IP real del visitante se especifica mediante los campos x-forwarded-for y x_real_ip.

x-forwarded-for

string

Una cadena de direcciones IP para un proxy cuando el proxy se implementa delante de WAF.

El sting incluye una o más direcciones IP.

La dirección IP más a la izquierda es la dirección IP de origen del cliente. Cada vez que el servidor proxy recibe una solicitud, añade la dirección IP de origen de la solicitud a la derecha de la dirección IP de origen.

x_real_ip

string

Dirección IP real del cliente cuando se implementa un proxy delante de WAF.

Dirección IP real del cliente, que es identificada por el proxy.

cdn_src_ip

string

Dirección IP del cliente identificada por CDN cuando CDN se implementa delante de WAF

Este campo especifica la dirección IP real del cliente si CDN se implementa delante de WAF.

AVISO:

Algunos proveedores de CDN pueden usar otros campos. WAF registra solo los campos más comunes.

scheme

string

Solicitud de protocolo

Protocolos que se pueden utilizar en la solicitud:

  • HTTP
  • HTTPS

response_code

string

Código de respuesta

Código de estado de respuesta devuelto por el servidor de origen a WAF.

method

string

Método de solicitud.

Tipo de solicitud en una línea de solicitud. Generalmente, el valor es GET o POST.

http_host

string

Nombre de dominio del servidor solicitado.

Dirección, nombre de dominio o dirección IP introducida en el cuadro de direcciones de un navegador.

url

string

URL de solicitud.

Ruta de acceso en una URL (excluyendo el nombre de dominio).

request_length

string

Longitud de solicitud.

La longitud de la solicitud incluye la dirección de la solicitud de acceso, el encabezado de la solicitud HTTP y el número de bytes en el cuerpo de la solicitud.

bytes_send

string

Número total de bytes enviados al cliente.

Número de bytes enviados por WAF al cliente.

body_bytes_sent

string

Número total de bytes del cuerpo de respuesta enviado al cliente

Número de bytes del cuerpo de respuesta enviado por WAF al cliente

upstream_addr

string

Dirección del servidor backend.

Dirección IP del servidor de origen para el que está destinada una solicitud. Por ejemplo, si WAF reenvía solicitudes a un ECS, la dirección IP del ECS se devuelve a este parámetro.

request_time

string

Solicitar tiempo de procesamiento

El tiempo de procesamiento comienza cuando se lee el primer byte del cliente.

upstream_response_time

string

Tiempo de respuesta del servidor backend.

Hora en que el servidor backend responde a la solicitud WAF.

upstream_status

string

Código de respuesta del servidor backend.

Código de estado de respuesta devuelto por el servidor backend a WAF.

upstream_connect_time

string

Tiempo transcurrido para que los servidores de origen se conecten a los servidores backend

Tiempo para que el servidor de origen establezca una conexión con sus servidores backend. Si el servicio backend utiliza un protocolo de encriptación, este parámetro incluye el tiempo de establecimiento de enlace.

upstream_header_time

string

Tiempo utilizado por el servidor backend para recibir el primer byte del encabezado de respuesta.

-

bind_ip

string

Dirección IP de origen del motor WAF.

Dirección IP de Back-to-source utilizada por el motor WAF.

group_id

string

ID de grupo de registro LTS

ID del grupo de registro para interconectar WAF con LTS.

access_stream_id

string

ID de flujo de registro.

ID del access_stream del usuario en el grupo de registro identificado por el campo group_id.

engine_id

string

ID del motor WAF

Identificación única del motor WAF.

time_iso8601

string

Formato de tiempo ISO 8601 de los registros.

-

sni

string

Nombre de dominio solicitado a través del SNI.

-

tls_version

string

Versión del protocolo para establecer una conexión SSL.

Versión TLS utilizada en la solicitud.

ssl_curves

string

Lista de grupos de curvas admitida por el cliente.

-

ssl_session_reused

string

Reutilización de sesión SSL

Si se puede reutilizar la sesión SSL

r: Sí

.: No

process_time

string

Duración de la detección

-

Descripción del campo de registro de solicitud WAF

Campo

Tipo

Descripción de campo

Descripción

scheme

string

Solicitud de protocolo

Protocolos que se pueden utilizar en la solicitud:

  • HTTP
  • https

hport

string

Puerto de escucha para el motor

-

body_bytes_sent

string

Número total de bytes del cuerpo de respuesta enviado al cliente.

-

hostid

string

ID de nombre de dominio protegido (upstream_id).

-

time_iso8601

string

Formato de tiempo ISO 8601 de los registros.

-

host

string

Nombre de dominio del servidor solicitado.

-

tenantid

string

ID de cuenta

-

inet_ip

string

Dirección IP del motor

-

backend.protocol

string

Protocolo de back-end actual

-

backend.alive

string

Estado actual del backend

-

backend.port

string

Puerto de back-end actual

-

backend.host

string

Valor actual del host backend

-

backend.type

string

Tipo de host de backend actual

Tipo del host de backend. Puede ser un nombre de dominio o una dirección IP.

id

string

ID de solicitud

Los últimos ocho caracteres son los mismos que los primeros ocho caracteres de requestid el registro de acceso.

sip

string

Dirección IP desde la que se origina una solicitud de cliente.

-

sport

string

Puerto utilizado por la dirección IP desde la que se origina una solicitud de cliente.

-

projectid

string

ID del proyecto al que pertenece el nombre de dominio protegido

-

cookie

string

Cookie

-

method

string

Método de solicitud.

-

uri

string

Solicitud de URI

-

request_stream_id

string

ID de flujo de registro

ID de request_stream del usuario en el grupo de registro identificado por el campo group_id.

group_id

string

ID del grupo de registros

ID de grupo de registro LTS

engine_id

string

Identificación única del motor

-

header

string

Contenido del encabezado

-

time

string

Fecha y hora del registro

-

category

string

Categoría del registro

El valor es request.

status

string

Código de respuesta

-

Descripción del campo de WAF attack_log

Campo

Tipo

Descripción de campo

Descripción

category

string

Categoría del registro

El valor es attack.

time

string

Fecha y hora del registro

-

time_iso8601

string

Formato de tiempo ISO 8601 de los registros.

-

policy_id

string

ID de política

-

level

string

Nivel de protección

Nivel de protección de una regla integrada en la protección web básica

  • 1: Bajo
  • 2: Medio
  • 3: Alto

attack

string

Tipo de ataque

Tipo de ataque. Este parámetro solo se muestra en los registros de ataques.

  • default: ataques predeterminados
  • sqli: Inyecciones SQL
  • xss: ataques de secuencias de comandos entre sitios (XSS)
  • webshelll: shells web
  • robot: rastreadores maliciosos
  • cmdi: inyecciones de comando
  • rfi: ataques de inclusión de archivos remotos
  • lfi: ataques de inclusión de archivos locales
  • ilegal: solicitudes no autorizadas
  • vuln: vulnerabilidades
  • cc: ataques que golpean las reglas de protección CC
  • custom_custom: ataques que alcanzan una regla de protección precisa
  • custom_whiteip: ataques que golpean una regla de lista negra o blanca de direcciones IP
  • custom_geoip: ataques que golpean una regla de control de acceso de geolocalización
  • antitamper: ataques que golpean una regla de protección contra manipulaciones web
  • anticrawler: ataques que golpean el JS desafían la regla anti-crawler
  • leakage: vulnerabilidades que afectan a una regla de prevención de fugas de información
  • followed_action: ataques que golpean una regla de origen de ataque conocida

action

string

Acción protectora

Acción de defensa WAF.

  • block: WAF bloquea los ataques.
  • log: WAF solo registra los ataques detectados.
  • captcha: Código de verificación

sub_type

string

Tipos de crawlers

Cuando attack se establece en robot, este parámetro no se puede dejar en blanco.

  • script_tool: Herramientas de script
  • search_engine: Motores de búsqueda
  • scanner: Herramientas de escaneo
  • uncategorized: Otros rastreadores

rule

string

ID de la regla activada o la descripción del tipo de política personalizada.

-

location

string

Ubicación que desencadena la carga maliciosa

-

hit_data

string

Cadena que desencadena la carga maliciosa

-

resp_headers

string

Encabezado de respuesta

-

resp_body

string

Cuerpo de respuesta

-

backend

string

Dirección del servidor backend al que se reenvía la solicitud.

-

status

string

Código de estado de respuesta

-

reqid

string

ID aleatorio

-

id

string

ID de ataque

ID del ataque

method

string

Método de solicitud

-

sip

string

Dirección IP de solicitud del cliente

-

sport

string

Puerto de solicitud del cliente

-

host

string

Nombre de dominio solicitado

-

http_host

string

Nombre de dominio del servidor solicitado.

-

hport

string

Puerto del servidor solicitado.

-

uri

string

URL de solicitud.

El dominio está excluido.

header

A JSON string. A JSON table is obtained after the string is decoded.

Encabezado de la solicitud

-

mutipart

A JSON string. A JSON table is obtained after the string is decoded.

Solicitar encabezado multiparte

Este parámetro se utiliza para cargar archivos.

cookie

A JSON string. A JSON table is obtained after the string is decoded.

Cookie de la solicitud

-

params

A JSON string. A JSON table is obtained after the string is decoded.

Valor de los parámetros que sigue al URI de solicitud.

-

body_bytes_sent

string

Número total de bytes del cuerpo de respuesta enviado al cliente.

Número total de bytes del cuerpo de respuesta enviado por WAF al cliente.

upstream_response_time

string

Tiempo de respuesta del servidor backend.

-

process_time

string

Duración de la detección

-

engine_id

string

Identificación única del motor

-

group_id

string

ID del grupo de registros

ID de grupo de registro LTS

attack_stream_id

string

ID de flujo de registro

ID del access_stream del usuario en el grupo de registro identificado por el campo group_id.

hostid

string

ID de nombre de dominio protegido (upstream_id).

-

tenantid

string

ID de cuenta

-

projectid

string

ID del proyecto al que pertenece el nombre de dominio protegido

-