Ativa LTS para registro em log do WAF
Depois de autorizar o WAF a acessar o Serviço de Tanque de Registros (LTS), você poderá usar os registros do WAF registrados pelo LTS para análise rápida e eficiente em tempo real, gerenciamento de O&M de dispositivos e análise de tendências de serviço.
O LTS analisa e processa um grande número de logs. Ele permite que você processe logs em tempo real, de forma eficiente e segura. Os registros podem ser armazenados no LTS por sete dias por padrão, mas você pode configurar o LTS por até 30 dias, se necessário. Logs anteriores a 30 dias são excluídos automaticamente. No entanto, você pode configurar o LTS para despejar esses logs em um intervalo do Object Storage Service (OBS) ou habilitar o Data Ingesttion Service (DIS) para armazenamento de longo prazo.
- No console do WAF, você pode ver os logs dos últimos 30 dias e baixar os logs de todos os sites protegidos dos últimos cinco dias.
- O LTS é faturado por tráfego e é cobrado separadamente do WAF. Para obter detalhes sobre preços LTS, consulte Detalhes de preços LTS.
- Se você ativou projetos empresariais, certifique-se de ter todas as permissões de operação para o projeto em que sua instância do WAF está localizada. Em seguida, você pode selecionar o projeto na lista suspensa Enterprise Project e configurar o registro WAF.
Pré-requisitos
- Você adquiriu uma instância do WAF.
- O site a ser protegido foi adicionado ao WAF.
Restrições
Você pode habilitar o LTS para o registro em log do WAF nas seguintes regiões: CN-Hong Kong, AP-Bangkok, e AP-Singapura.
Impacto no sistema
Ativar o LTS para WAF não afeta o desempenho do WAF.
Ativando o LTS para registro de eventos de proteção WAF
- Efetue login no console de gerenciamento.
- Clique em
no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto. - Clique em
no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance. - No painel de navegação à esquerda, escolha Events.
- Clique na guia Configure Logs, ative o LTS (
), e selecione um grupo de logs e um fluxo de logs. Tabela 1 descreve os parâmetros.
Figura 1 Configurando logs
Tabela 1 Configuração do log Parâmetro
Descrição
Valor de exemplo
Grupo de logs
Selecione um grupo de logs ou clique em View Log Group para acessar o console LTS e criar um grupo de logs.
lts-grupo-waf
Registro de Ataque
Selecione um fluxo de log ou clique em View Log Stream para ir para o console LTS e criar um fluxo de log.
Um log de ataque inclui informações sobre o tipo de evento, ação de proteção e endereço IP de origem de ataque de cada ataque.
lts-topic-waf-ataque
Log de acesso
Selecione um fluxo de log ou clique em View Log Stream para ir para o console LTS e criar um fluxo de log.
Um log de acesso inclui informações importantes sobre o tempo de acesso, o endereço IP do cliente e a URL do recurso de cada solicitação de acesso HTTP.
lts-topic-waf-access
- Clique em OK.
Você pode exibir logs de eventos de proteção WAF no console LTS.
Visualizando logs de eventos de proteção WAF em LTS
Depois de ativar o LTS, execute as etapas a seguir para exibir e analisar os logs do WAF no console do LTS.
- Efetue login no console de gerenciamento.
- Vá para a página de fluxo de log seguindo as etapas mostradas em Figura 2.
- Exibir logs de eventos de proteção.
- Ver registos de ataque.
- Na lista de fluxo de log, clique no nome do fluxo de log (por exemplo, lts-topic-waf-attack) configurado para logs de ataque.
Figura 3 Nome do fluxo de log configurado para logs de ataque
- Ver logs de ataque. Figura 4 mostra um exemplo.
- Na lista de fluxo de log, clique no nome do fluxo de log (por exemplo, lts-topic-waf-attack) configurado para logs de ataque.
- Ver registos de acesso.
- Na lista de fluxo de log, clique no nome do fluxo de log (por exemplo, lts-topic-waf-access) configurado para logs de acesso.
Figura 5 Nome do fluxo de log configurado para logs de acesso
- Ver registos de acesso. Figura 6 mostra um exemplo.
- Na lista de fluxo de log, clique no nome do fluxo de log (por exemplo, lts-topic-waf-access) configurado para logs de acesso.
- Ver registos de ataque.
Campo access_log do WAF
|
Campo |
Tipo |
Descrições do campo |
Descrição |
|---|---|---|---|
|
requestid |
string |
ID aleatório |
O valor é o mesmo que os últimos oito caracteres do campo req_id no log de ataque. |
|
time |
string |
Hora em que uma solicitação de acesso é recebida. |
GMT hora em que um log é gerado. |
|
eng_ip |
string |
Endereço IP do mecanismo WAF |
- |
|
hostid |
string |
Identificador do nome de domínio da solicitação de acesso. |
ID de nome de domínio protegido (upstream_id). |
|
tenantid |
string |
ID da conta |
A sua conta |
|
projectid |
string |
ID do projeto ao qual o nome de domínio protegido pertence |
ID do projeto de um usuário em uma região específica. |
|
remote_ip |
string |
Endereço IP a partir do qual uma solicitação de cliente se origina. |
Endereço IP a partir do qual uma solicitação de cliente se origina.
AVISO:
Se um proxy de camada 7 for implantado na frente do WAF, esse campo indicará o endereço IP do nó de proxy mais próximo do WAF. O endereço IP real do visitante é especificado pelos campos x-forwarded-for e x_real_ip. |
|
x-forwarded-for |
string |
Uma seqüência de endereços IP para um proxy quando o proxy é implantado na frente do WAF. |
A picada inclui um ou mais endereços IP. O endereço IP mais à esquerda é o endereço IP de origem do cliente. Cada vez que o servidor proxy recebe uma solicitação, ele adiciona o endereço IP de origem da solicitação à direita do endereço IP de origem. |
|
x_real_ip |
string |
Endereço IP real do cliente quando um proxy é implantado na frente do WAF. |
Endereço IP real do cliente, que é identificado pelo proxy. |
|
cdn_src_ip |
string |
Endereço IP do cliente identificado pelo CDN quando o CDN é implantado na frente do WAF |
Este campo especifica o endereço IP real do cliente se a CDN for implantada na frente do WAF.
AVISO:
Alguns fornecedores de CDN podem usar outros campos. O WAF registra apenas os campos mais comuns. |
|
scheme |
string |
Protocolo de solicitação |
Protocolos que podem ser usados na requisição:
|
|
response_code |
string |
Código de resposta |
Código de status de resposta retornado pelo servidor de origem ao WAF. |
|
method |
string |
Método de solicitação. |
Tipo de solicitação em uma linha de solicitação. Geralmente, o valor é GET ou POST. |
|
http_host |
string |
Nome de domínio do servidor solicitado. |
Endereço, nome de domínio ou endereço IP inserido na caixa de endereço de um navegador. |
|
url |
string |
URL da solicitação. |
Caminho em um URL (excluindo o nome de domínio). |
|
request_length |
string |
Comprimento do pedido. |
O comprimento da solicitação inclui o endereço da solicitação de acesso, o cabeçalho da solicitação HTTP e o número de bytes no corpo da solicitação. |
|
bytes_send |
string |
Número total de bytes enviados ao cliente. |
Número de bytes enviados pelo WAF para o cliente. |
|
body_bytes_sent |
string |
Número total de bytes do corpo de resposta enviado ao cliente |
Número de bytes do corpo de resposta enviado pelo WAF ao cliente |
|
upstream_addr |
string |
Endereço do servidor backend. |
Endereço IP do servidor de origem para o qual uma solicitação é destinada. Por exemplo, se o WAF encaminhar solicitações para um ECS, o endereço IP do ECS será retornado para esse parâmetro. |
|
request_time |
string |
Tempo de processamento da solicitação |
O tempo de processamento começa quando o primeiro byte do cliente é lido. |
|
upstream_response_time |
string |
Tempo de resposta do servidor back-end. |
Hora em que o servidor de back-end responde à solicitação do WAF. |
|
upstream_status |
string |
Código de resposta do servidor backend. |
Código de status de resposta retornado pelo servidor de back-end ao WAF. |
|
upstream_connect_time |
string |
Tempo decorrido para que os servidores de origem se conectem aos servidores de back-end |
Tempo para o servidor de origem estabelecer uma conexão com seus servidores de back-end. Se o serviço de back-end utilizar um protocolo de encriptação, este parâmetro inclui o tempo de handshake. |
|
upstream_header_time |
string |
Tempo usado pelo servidor de back-end para receber o primeiro byte do cabeçalho da resposta. |
- |
|
bind_ip |
string |
Endereço IP back-to-source do mecanismo WAF. |
Endereço IP back-to-source usado pelo mecanismo WAF. |
|
group_id |
string |
ID do grupo de registos LTS |
ID do grupo de registros para interconexão do WAF com o LTS. |
|
access_stream_id |
string |
ID do fluxo de log. |
ID de access_stream do usuário no grupo de logs identificado pelo campo group_id. |
|
engine_id |
string |
ID do mecanismo WAF |
ID exclusivo do motor WAF. |
|
time_iso8601 |
string |
ISO 8601 formato de tempo de logs. |
- |
|
sni |
string |
Nome de domínio solicitado através do SNI. |
- |
|
tls_version |
string |
Versão do protocolo para estabelecer uma conexão SSL. |
Versão TLS usada na solicitação. |
|
ssl_curves |
string |
Lista de grupos de curvas suportadas pelo cliente. |
- |
|
ssl_session_reused |
string |
Reutilização de sessão SSL |
Se a sessão SSL pode ser reutilizada r: Sim .: Não |
|
process_time |
string |
Duração da detecção |
- |
Descrição do campo request_log do WAF
|
Campo |
Tipo |
Descrições do campo |
Descrição |
|---|---|---|---|
|
scheme |
string |
Protocolo de solicitação |
Protocolos que podem ser usados na solicitação:
|
|
hport |
string |
Porta de escuta para o motor |
- |
|
body_bytes_sent |
string |
Número total de bytes do corpo de resposta enviado ao cliente. |
- |
|
hostid |
string |
ID de nome de domínio protegido (upstream_id). |
- |
|
time_iso8601 |
string |
Formato de tempo ISO 8601 dos logs. |
- |
|
host |
string |
Nome de domínio do servidor solicitado. |
- |
|
tenantid |
string |
ID da conta |
- |
|
inet_ip |
string |
Endereço IP do motor |
- |
|
backend.protocol |
string |
Protocolo de back-end atual |
- |
|
backend.alive |
string |
Status do back-end atual |
- |
|
backend.port |
string |
Porta de back-end atual |
- |
|
backend.host |
string |
Valor atual do host de back-end |
- |
|
backend.type |
string |
Tipo de host de back-end atual |
Tipo do host de backend. Pode ser um nome de domínio ou um endereço IP. |
|
id |
string |
ID de Solicitação |
Os últimos oito caracteres são os mesmos que os primeiros oito caracteres do requestid no log de acesso. |
|
sip |
string |
Endereço IP a partir do qual uma solicitação de cliente se origina. |
- |
|
sport |
string |
Porta usada pelo endereço IP a partir do qual uma solicitação de cliente se origina. |
- |
|
projectid |
string |
ID do projeto ao qual o nome de domínio protegido pertence |
- |
|
cookie |
string |
Biscoito |
- |
|
method |
string |
Método de solicitação. |
- |
|
uri |
string |
Solicitar URI |
- |
|
request_stream_id |
string |
ID do fluxo de log |
ID do request_stream do usuário no grupo de logs identificado pelo campo group_id. |
|
group_id |
string |
ID do grupo de log |
ID do grupo de registos LTS |
|
engine_id |
string |
ID exclusivo do motor |
- |
|
header |
string |
Conteúdo do cabeçalho |
- |
|
time |
string |
Tempo de registro |
- |
|
category |
string |
Categoria de log |
O valor é request. |
|
status |
string |
Código de resposta |
- |
Descrição do campo attack_log do WAF
|
Campo |
Tipo |
Descrições do campo |
Descrição |
|---|---|---|---|
|
category |
string |
Categoria de log |
O valor é o attack. |
|
time |
string |
Tempo de registro |
- |
|
time_iso8601 |
string |
Formato de tempo ISO 8601 dos logs. |
- |
|
policy_id |
string |
ID da política |
- |
|
level |
string |
Nível de proteção |
Nível de proteção de uma regra incorporada na proteção básica da Web
|
|
attack |
string |
Tipo de ataque |
Tipo de ataque. Esse parâmetro é listado somente nos logs de ataque.
|
|
action |
string |
Ação Protetora |
Ação de defesa da WAF.
|
|
sub_type |
string |
Tipos de esteira rolante |
Quando o attack é definido como robot, este parâmetro não pode ser deixado em branco.
|
|
rule |
string |
ID da regra acionada ou a descrição do tipo de política personalizada. |
- |
|
location |
string |
Localização que aciona a carga maliciosa |
- |
|
hit_data |
string |
String acionando a carga maliciosa |
- |
|
resp_headers |
string |
Cabeçalho de resposta |
- |
|
resp_body |
string |
Corpo da resposta |
- |
|
backend |
string |
Endereço do servidor de back-end para o qual a solicitação é encaminhada. |
- |
|
status |
string |
Código do estado da resposta |
- |
|
reqid |
string |
ID aleatório |
- |
|
id |
string |
ID do ataque |
Identificação do ataque |
|
method |
string |
Método de solicitação |
- |
|
sip |
string |
Endereço IP de solicitação do cliente |
- |
|
sport |
string |
Porta de solicitação do cliente |
- |
|
host |
string |
Nome de domínio solicitado |
- |
|
http_host |
string |
Nome de domínio do servidor solicitado. |
- |
|
hport |
string |
Porta do servidor solicitado. |
- |
|
uri |
string |
URL da solicitação. |
O domínio é excluído. |
|
header |
Uma string JSON. Uma tabela JSON é obtida depois que a string é decodificada. |
Cabeçalho da solicitação |
- |
|
mutipart |
Uma string JSON. Uma tabela JSON é obtida depois que a string é decodificada. |
Solicitar cabeçalho de várias partes |
Este parâmetro é usado para fazer upload de arquivos. |
|
cookie |
Uma string JSON. Uma tabela JSON é obtida depois que a string é decodificada. |
Cookie do pedido |
- |
|
params |
Uma string JSON. Uma tabela JSON é obtida depois que a string é decodificada. |
Valor dos parâmetros após o URI da solicitação. |
- |
|
body_bytes_sent |
string |
Número total de bytes do corpo de resposta enviado ao cliente. |
Número total de bytes do corpo de resposta enviado pelo WAF ao cliente. |
|
upstream_response_time |
string |
Tempo de resposta do servidor back-end. |
- |
|
process_time |
string |
Duração da detecção |
- |
|
engine_id |
string |
ID exclusivo do motor |
- |
|
group_id |
string |
ID do grupo de log |
ID do grupo de logs LTS |
|
attack_stream_id |
string |
ID do fluxo de log |
ID de access_stream do usuário no grupo de logs identificado pelo campo group_id. |
|
hostid |
string |
ID de nome de domínio protegido (upstream_id). |
- |
|
tenantid |
string |
ID da conta |
- |
|
projectid |
string |
ID do projeto ao qual o nome de domínio protegido pertence |
- |
