文档首页> 云日志服务 LTS> 最佳实践> 基于华为云WAF(Web应用防火墙)日志运维分析
更新时间:2024-01-30 GMT+08:00

基于华为云WAF(Web应用防火墙)日志运维分析

背景信息

WAF(Web应用防火墙)通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入等攻击,所有请求流量经过WAF时,WAF会记录攻击和访问的日志,可实时决策分析、对设备进行运维管理以及业务趋势分析。

前提条件

购买并使用华为云WAF实例。

操作步骤

  1. 在WAF添加防护网站。

    1. 登录管理控制台。
    2. 在控制台左上角单击,选择区域和项目。
    3. 在系统首页左上角单击,选择“安全与合规 > Web应用防火墙 WAF”,进入Web应用防火墙管理控制台。
    4. 根据添加防护域名添加需要防护的网站,使网站流量切入WAF

  2. 开启全量日志功能,将WAF日志记录到LTS,详细操作请参见开启全量日志

    1. 在Web应用防火墙管理控制台,单击“防护事件”,选择“全量日志”页签。开启全量日志,选择已创建的日志组与日志流。如未创建日志组与日志流,请先创建日志组创建日志流
    2. 单击“确定”,全量日志配置成功。
    图1 配置全量日志

  3. 在系统首页左上角单击,选择“管理与监管 > 云日志服务 LTS”。
  4. 在日志管理页面,单击日志流名称进入日志流详情页面,单击右上角的按钮,进入设置页面,在“云端结构化解析”页签,选择“JSON”提取方式,根据业务需求选择日志,配置相关参数,具体操作请参见日志结构化

    图2 配置JSON格式日志

  5. 在日志流详情页面,单击“可视化”页签,进行SQL查询与分析,如需要多样化呈现查询结果,请参考日志结构化进行配置。

    • 统计1周内攻击次数,具体SQL查询分析语句如下所示:
      select count(*) as attack_times
    • 统计1天不同攻击类型的分布,具体SQL查询分析语句如下所示:
      select attack,count(*) as times group by attack

      查询结果有表格、柱状图、折线图、饼图、数字等。