Web应用防火墙 WAFWeb应用防火墙 WAF

计算
弹性云服务器 ECS
裸金属服务器 BMS
云手机 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器 HECS
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属企业存储服务
云存储网关 CSG
专属分布式存储服务 DSS
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘小站 IES
智能边缘平台 IEF
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
园区智能体 CampusGo
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
语音交互服务 SIS
知识图谱 KG
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
设备管理 IoTDM(联通用户专用)
全球SIM联接 GSL
IoT开发者服务
IoT数据分析
车联网服务 IoV
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
开源镜像站 Mirrors
应用魔方 AppCube
云性能测试服务 CPTS
应用管理与运维平台 ServiceStage
云应用引擎 CAE
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
区块链
区块链服务 BCS
可信跨链服务 TCS
智能协作
IdeaHub
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
API问题定位指导
云生态
云市场
合作伙伴中心
华为云培训中心
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
云原生服务中心 OSC
容器批量计算 BCE
容器交付流水线 ContainerOps
应用服务网格 ASM
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB (for openGauss)
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
数据管理服务 DAS
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据湖治理中心 DGC
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
API网关 APIG
分布式缓存服务 DCS
分布式消息服务RocketMQ版
企业应用
域名注册服务 Domains
云解析服务 DNS
云速建站 CloudSite
网站备案
华为云WeLink
会议
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
API全生命周期管理 ROMA API
安全与合规
安全技术与应用
DDoS防护 ADS
Web应用防火墙 WAF
云防火墙 CFW
应用信任中心 ATC
企业主机安全 HSS
容器安全服务 CGS
云堡垒机 CBH
数据库安全服务 DBSS
数据加密服务 DEW
数据安全中心 DSC
云证书管理服务 CCM
SSL证书管理 SCM
漏洞扫描服务 VSS
态势感知 SA
威胁检测服务 MTD
管理检测与响应 MDR
安全治理云图 Compass
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
专属云
专属计算集群 DCC
解决方案
高性能计算 HPC
SAP
游戏云
混合云灾备
华为工业云平台 IMC
价格
成本优化最佳实践
专属云商业逻辑
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
更新时间:2021-11-30 GMT+08:00
分享

开启全量日志

启用WAF全量日志功能后,您可以将攻击日志、访问日志记录到华为云的云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能开启该企业项目的全量日志。

LTS对于采集的日志数据,通过海量日志数据的分析与处理,可以为您提供一个实时、高效、安全的日志处理能力。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。

  • 在WAF管理控制台,您可以查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。
  • LTS按流量单独计费。有关LTS的计费详情,请参见LTS价格详情
  • 如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,开启该企业项目的全量日志。

前提条件

  • 已购买WAF。
  • 已添加防护网站。

约束条件

支持全量日志功能的区域为:华北-北京一、华北-北京四、华东-上海一、华南-广州、华东-上海二、中国-香港、亚太-曼谷、俄罗斯-莫斯科

系统影响

开启全量日志功能是将WAF日志记录到LTS,不影响WAF性能。

将防护日志配置到LTS

  1. 登录管理控制台
  2. 进入防护事件页面入口,如图1所示。

    图1 防护事件页面入口

  3. 选择“全量日志”页签,开启全量日志,并选择日志组和日志流,如图2所示,相关参数说明如表1所示。

    图2 配置全量日志
    表1 全量日志配置参数

    参数

    参数说明

    取值样例

    选择日志组

    选择已创建的日志组,或者单击“查看日志组”,跳转到LTS管理控制台创建新的日志组。

    lts-group-waf

    记录攻击日志

    选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    攻击日志记录每一个攻击告警信息,包括攻击事件类型、防护动作、攻击源IP等信息。

    lts-topic-waf-attack

    记录访问日志

    选择已创建的日志流,或者单击“查看日志流”,跳转到LTS管理控制台创建新的日志流。

    访问日志记录每一个HTTP访问的关键信息,包括访问时间、访问客户端IP、访问资源URL等信息。

    lts-topic-waf-access

  4. 单击“确定”,全量日志配置成功。

    您可以在LTS管理控制台查看WAF的防护日志。

在LTS上查看WAF防护日志

当您将WAF防护日志配置记录到LTS上后,请参考以下操作步骤,在LTS管理控制台查看、分析记录的WAF日志数据。

  1. 登录管理控制台
  2. 进入日志流入口,如图3所示。

    图3 日志流入口

  3. 查看WAF防护日志。

    • 查看攻击日志
      1. 在日志流列表,单击配置的攻击日志流“lts-topic-waf-attack”,如图4所示。
        图4 单击攻击日志流名称
      2. 查看攻击日志,日志示例如图5所示。
        图5 查看攻击日志
    • 查看访问日志
      1. 在日志流列表,单击配置的访问日志流“lts-topic-waf-access”,如图6所示。
        图6 单击访问日志流名称
      2. 查看访问日志,日志示例如图7所示。
        图7 查看访问日志

WAF访问日志access_log字段说明

字段

类型

字段说明

描述

requestid

string

随机ID标识

与攻击日志的“req_id” 字段末尾8个字符一致。

time

string

访问请求的时间

日志内容记录的GMT时间。

eng_ip

string

WAF引擎IP

-

hostid

string

访问请求的域名标识

防护域名ID(upstream_id)。

tenantid

string

防护域名的租户ID

一个华为云帐号对应一个租户ID。

projectid

string

防护域名的项目ID

用户在对应区域下的项目ID。

remote_ip

string

请求的客户端IP

请求的客户端IP。

须知:

如果在WAF前部署了7层代理,本字段表示最靠近WAF的代理节点的IP地址。此时,真实访问者IP参考“x-forwarded-for”“x_real_ip”字段。

x-forwarded-for

string

当WAF前部署代理时,代理节点IP链

代理节点IP链,为1个或多个IP组成的字符串。

最左边为最原始客户端的IP地址,代理服务器每成功收到一个请求,就将请求来源IP地址添加到右边。

x_real_ip

string

当WAF前部署代理时,真实的客户端IP

代理节点识别到的真实客户端IP。

cdn_src_ip

string

当WAF前部署CDN时CDN识别到的客户端IP

当WAF前部署CDN时,此字段记录的为CDN节点识别到的真实客户端IP。

须知:

部分CDN厂商可能使用其他字段,WAF仅记录最常见的字段。

scheme

string

请求协议类型

请求所使用的协议有:

  • http
  • https

response_code

string

请求响应码

源站返回给WAF的响应状态码。

method

string

请求方法

请求行中的请求类型。通常为“GET”“POST”

http_host

string

请求的服务器域名

浏览器的地址栏中输入的地址,域名或IP地址。

url

string

请求URL

URL链接中的路径(不包含域名)。

request_length

string

请求的长度

包括请求地址、HTTP请求头和请求体的字节数。

bytes_send

string

发送给客户端的总字节数

WAF返回给客户端的总字节数。

body_bytes_sent

string

发送给客户端的响应体字节数

WAF返回给客户端的响应体字节数

upstream_addr

string

选择的后端服务器地址

请求所对应的源站IP。例如,WAF回源到ECS,则返回源站ECS的IP。

request_time

string

请求处理时间

从读取客户端的第一个字节开始计时。

upstream_response_time

string

后端服务器响应时间

后端服务器响应WAF请求的时间。

upstream_status

string

后端服务器的响应码

后端服务器返回给WAF的响应状态码。

upstream_connect_time

string

后端服务器连接用时

源站与后端服务建立连接的时间。如果后端服务使用了加密协议,该参数包括握手的时间。

upstream_header_time

string

后端服务器接收到第一个响应头字节的用时

-

bind_ip

string

WAF引擎回源IP

WAF引擎所使用的回源IP。

group_id

string

对接LTS服务的日志组ID

WAF对接华为云的云日志服务日志组ID。

access_stream_id

string

日志流ID

“group_id”相关,是日志组下用户的access_stream的ID。

engine_id

string

WAF引擎标识

WAF引擎的唯一标识。

time_iso8601

string

日志的ISO 8601格式时间

-

sni

string

通过SNI请求的域名

-

tls_version

string

建立SSL连接的协议版本

请求所使用的TLS协议版本。

ssl_curves

string

客户端支持的曲线列表

-

ssl_session_reused

string

SSL会话是否被重用。

表示SSL会话是否被重用。

r:是

.:否

process_time

string

引擎的检测用时

-

WAF请求日志request_log字段说明

字段

类型

字段说明

描述

scheme

string

请求协议类型

请求所使用的协议有:

  • http
  • https

hport

string

引擎监听端口

-

body_bytes_sent

string

发送给客户端的响应体字节数

-

hostid

string

防护域名ID(upstream_id)

-

time_iso8601

string

日志的ISO 8601格式时间

-

host

string

请求的服务器域名

-

tenantid

string

防护域名的租户ID

-

inet_ip

string

引擎IP

-

backend.protocol

string

当前后端协议

-

backend.alive

string

当前后端状态

-

backend.port

string

当前后端端口

-

backend.host

string

当前后端Host值

-

backend.type

string

当前后端Host类型

后端Host类型,包括域名或IP。

id

string

请求ID标识

末尾8个字符与访问日志的“requestid”前8个字符一致。

sip

string

请求的客户端IP

-

sport

string

请求的客户端端口

-

projectid

string

防护域名的项目ID

-

cookie

string

Cookie内容

-

method

string

请求方法

-

uri

string

请求URI

-

request_stream_id

string

日志流ID

“group_id”相关,是日志组下用户的request_stream的ID。

group_id

string

日志组ID

对接LTS服务的日志组ID。

engine_id

string

引擎的唯一标识

-

header

string

Header头内容

-

time

string

日志时间

-

category

string

日志分类

值为“request”

status

string

请求响应码

-

WAF攻击日志attack_log字段说明

字段

类型

字段说明

描述

category

string

日志分类

值为“attack”

time

string

日志时间

-

time_iso8601

string

日志的ISO 8601格式时间

-

policy_id

string

防护策略ID

-

level

string

防护策略层级

表示Web基础防护策略级别。

  • 1:宽松
  • 2:中等
  • 3:严格

attack

string

发生攻击的类型

发生攻击的类型,仅在攻击日志中出现。

  • default:默认
  • sqli:SQL注入攻击
  • xss:跨站脚本攻击
  • webshell:WebShell攻击
  • robot:恶意爬虫
  • cmdi:命令注入攻击
  • rfi:远程文件包含
  • lfi: 本地文件包含
  • illegal:非法请求
  • vuln:漏洞攻击
  • cc:命中CC防护规则
  • custom_custom:命中精准防护规则
  • custom_whiteip:命中IP黑白名单规则
  • custom_geoip:命中地理位置控制规则
  • antitamper: 命中网页防篡改规则
  • anticrawler:命中JS挑战反爬虫规则
  • leakage:命中敏感信息泄露规则
  • followed_action:攻击惩罚

action

string

防护动作

WAF防护攻击动作。

  • block:拦截
  • log:仅记录
  • captcha:人机验证

sub_type

string

爬虫的子类型

当attack为robot时,该字段不为空。

  • script_tool:脚本工具
  • search_engine:搜索引擎
  • scaner:扫描工具
  • uncategorized:其他爬虫

rule

string

触发的规则ID或者自定义的策略类型描述

-

location

string

触发恶意负载的位置

-

hit_data

string

触发恶意负载的字符串

-

resp_headers

string

响应头

-

resp_body

string

响应体

-

backend

string

请求转发的后端服务器地址

-

status

string

请求的响应状态码

-

reqid

string

随机ID标识

-

id

string

攻击ID

攻击的ID标识。

method

string

请求方法

-

sip

string

客户端请求IP

-

sport

string

客户端请求端口

-

host

string

请求的服务器域名

-

http_host

string

请求的服务器域名

-

hport

string

请求的服务器端口

-

uri

string

请求URL

不包括域名。

header

json string,decode后为json table

请求header信息

-

mutipart

json string,decode后为json table

请求multipart header

用于文件上传。

cookie

json string,decode后为json table

请求Cookie信息

-

params

json string,decode后为json table

请求URI后的参数信息

-

body_bytes_sent

string

发送给客户端的响应体字节数

WAF发送给客户端的响应体字节数。

upstream_response_time

string

后端服务器响应时间

-

process_time

string

引擎的检测用时

-

engine_id

string

引擎的唯一标识

-

group_id

string

日志组ID

对接LTS服务的日志组ID。

attack_stream_id

string

日志流ID

“group_id”相关,是日志组下用户的 access_stream的ID。

hostid

string

防护域名ID(upstream_id)

-

tenantid

string

防护域名的租户ID

-

projectid

string

防护域名的项目ID

-

分享:

    相关文档

    相关产品

关闭导读