通过LTS快速查询分析WAF访问日志

开启WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

本实践以日志组“lts-waf”的访问日志流“lts-waf-access”为例，说明如何通过LTS快速查询分析日志。

登录管理控制台。
单击管理控制台左上角的，选择区域或项目。
单击页面左上方的，选择“管理与监管 > 云日志服务”，进入“日志管理”页面。
在“日志组名称”列，单击访问日志流所在的日志组名称（例如，“lts-waf”），进入日志流页面。
在“日志流名称”列，单击访问日志流名称（例如，“lts-waf-access”），进入“日志流”页面。
在日志流详情页面，单击右上角，在弹出页面中，选择“云端结构化解析”页签，进入日志结构化配置页面。
选择“JSON”日志结构化方式，如图1所示。

图1 选择JSON格式
在“步骤1 选择示例”日志区域，单击“从已有日志中选择”，在弹出“选择已有日志”对话框中任选一条日志后，单击“确定”。
在“步骤2 字段提取”区域，单击“智能提取”，开启需要快速分析的字段（例如，“remote_ip”）。

“remote_ip”：访问请求的客户端IP地址。
单击“保存”，LTS将对周期内的日志进行快速分析、统计。
在左侧导航树中，选择“可视化”，在页面右侧选择日志查询时间段，在搜索框中输入SQL语句后单击“执行查询”，查询指定日志。

您可以在搜索框中输入如下SQL语句，查询指定IP的日志：

select * where remote_ip = 'xx.xx.xx.xx' 或者select * where remote_ip like 'xx.xx.xx%'