配置防火墙日志接入LTS

操作场景

云防火墙的日志查询功能默认情况下可查询最近7天的日志数据，这可能无法满足长期安全审计和复杂事件分析的需求。如果需要延长日志存储时长或导出大量日志数据，可以将单类或多类日志记录至云日志服务（Log Tank Service，简称LTS）中，接入后日志存储时长可延长至1-365天。通过LTS记录的云防火墙日志数据，可以快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。

本章节将详细介绍云防火墙日志对接LTS的配置操作。

费用说明

LTS按流量单独计费。有关LTS的计费详情，请参见LTS价格详情。

约束与限制

• 基础版不支持查看日志。
• 配置对接LTS完成后不会立即生效，存在10分钟左右的时延。

配置防火墙日志接入LTS

1. 创建日志组和日志流。
   • 日志组（LogGroup）是云日志服务进行日志管理的基本单位，用于对日志流进行分类，一个日志组下面可以创建多个日志流。日志组本身不存储任何日志数据，仅方便您管理日志流。

     为方便后续查看，建议您在创建日志组时为日志组加上-cfw的后缀。创建日志组详细操作请参见创建日志组。

   • 云日志服务以日志流（LogStream）作为日志管理维度。每个日志流只能属于一个日志组，每个日志组中可创建多个日志流。日志采集后，以日志流为单位，将不同类型的日志分类存储在不同的日志流上，方便对日志进一步分类管理。

     为方便后续查看，建议您创建日志流时分别为为攻击事件日志、访问控制日志、流量日志加入-attack、-access、-flow的后缀。创建日志流详细操作请参见创建日志流。

2. 登录云防火墙控制台。
3. 单击管理控制台左上角的，选择区域。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航树中，选择“日志审计 > 日志管理”，进入日志管理页面。
6. 单击“对接LTS配置”，进入对接LTS配置页面。
7. 在“日志类型”栏中，勾选需要对接的日志类型。
   可以将单类或多类日志记录至LTS中。攻击、访问、流量日志的格式均不一样，需配置不同的日志流分别记录。

   • 攻击日志：记录攻击告警信息，包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。
   • 访问日志：记录命中ACL策略的流量信息，包括命中时间、五元组、响应动作、访问控制规则等信息。
   • 流量日志：记录所有通过防火墙的流量信息，包括开始时间、结束时间、五元组、字节数、报文数等信息。

8. 选择已创建的日志组和日志流。
9. 单击“确定”，完成日志配置。

   配置对接LTS完成后不会立即生效，存在10分钟左右的时延。如果出现“您的权限不足”的提示，请授予“LTS FullAccess”权限。

   授权相关操作请参见通过IAM授予使用CFW的权限。

后续处理

• 查询及分析日志：对接完成后，防火墙日志会上传到云日志服务中进行管理，您可以使用LTS对防火墙日志进行关键词搜索、日志可视化分析等多种操作。详细操作请参见日志搜索与分析。
• 日志可视化：将日志数据按照图表类型呈现，满足不同场景的可视化呈现需求，用于运维和运营分析。详细操作请参见日志可视化。
• 配置告警规则：监控日志中的关键词，通过在一定时间段内，统计日志中关键字出现的次数，实时监控服务运行状态。详细操作请参见日志告警。
• 查看日志字段：如果需要查看日志字段的详细说明、支持索引的字段等，请参见日志字段说明。

相关文档

如果需要了解更多关于LTS的说明请参见什么是云日志服务。