文档首页/ Web应用防火墙 WAF/ 用户指南(巴黎)/ 最佳实践/ 通过LTS快速查询分析WAF访问日志
更新时间:2024-03-11 GMT+08:00

通过LTS快速查询分析WAF访问日志

开启WAF全量日志功能后,您可以将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

本实践以日志组“lts-waf”的访问日志流“lts-waf-access”为例,说明如何通过LTS快速查询分析日志。

前提条件

操作步骤

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择管理与监管 > 云日志服务,进入“日志管理”页面。
  4. “日志组名称”列,单击访问日志流所在的日志组名称(例如,“lts-waf”),进入日志流页面。
  5. “日志流名称”列,单击访问日志流名称(例如,“lts-waf-access”),进入“日志流”页面。
  6. 在日志流详情页面,单击右上角,在弹出页面中,选择“云端结构化解析”页签,进入日志结构化配置页面。
  7. 选择“JSON”日志结构化方式,如图1所示。

    图1 选择JSON格式

  8. 在“步骤1 选择示例”日志区域,单击“从已有日志中选择”,在弹出“选择已有日志”对话框中任选一条日志后,单击“确定”
  9. 在“步骤2 字段提取”区域,单击“智能提取”,开启需要快速分析的字段(例如,“remote_ip”)。

    “remote_ip”:访问请求的客户端IP地址。

  10. 单击“保存”,LTS将对周期内的日志进行快速分析、统计。
  11. 在左侧导航树中,选择“可视化”,在页面右侧选择日志查询时间段,在搜索框中输入SQL语句后单击“执行查询”,查询指定日志。

    您可以在搜索框中输入如下SQL语句,查询指定IP的日志:

    select * where remote_ip = 'xx.xx.xx.xx' 或者select * where remote_ip like 'xx.xx.xx%'