购买日志服务后,您可以根据业务需要,设置日志容量告警阈值和告警间隔,修改日志存储时长,以及设置日志采集的域名范围、字段范围和处置动作范围,以便高效利用日志容量。您也可以实时查看日志容量使用情况,随时升级容量,避免日志数据无法采集。
前提条件
已购买 WAF 日志服务功能模块。
操作步骤
- 登录火山引擎 Web 应用防火墙控制台。
- 在顶栏选择实例所属地域。
- 在左侧导航选择日志管理,进入日志管理页面。
- 单击页面右上角日志设置,进入日志参数设置页面。
- 根据需要设置不同参数并确认。
通用设置
配置
说明
日志容量
WAF 根据所购日志服务规格分配日志容量,日志容量模块展示当前已使用日志容量和已购买日志总容量。单击升级容量可进行实例日志规格升级。
容量告警
日志存储已使用量级到达设定的告警阈值时,平台会推送告警通知。
- 告警阈值:日志容量使用率达到告警阈值时即推送告警通知,默认为 80%。支持调整区间为 50%-100%。
- 告警间隔:相邻两次容量告警的间隔,默认日志容量告警间隔不少于 3 天。支持调整区间为 1-90 天。
说明
请及时进行日志容量升级,避免因日志容量超量导致日志数据无法继续写入。
存储时长
日志数据存储的时长,默认为 180 天,可支持调整区间为 30~3650 天,3650天即为永久存储。
说明
WAF 根据所购日志服务规格分配日志容量,如设置的日志存储时长对应的日志量超出已购日志容量,则仅在已购日志容量内采集日志。因日志容量超量或到期导致部分日志数据无法按预期时长存储时,可以按需升级或续费以保障日志数据按预期时长存储。
日志告警策略
WAF 支持针对采集到的日志数据配置告警策略,根据指定的检索分析条件,定时查询日志数据,当满足触发条件时将告警上报至指定的告警组中。关于告警策略的详细操作,请参见日志服务-创建告警策略。
日志告警历史
日志告警策略生效后,即周期性执行监控任务,并记录每次监控任务执行的情况。告警历史信息说明,请参见日志服务-告警历史。
日志采集:WAF 支持自定义日志采集的范围,不同采集范围条件间取“与”逻辑,即采集的日志满足所有设置的条件。采集范围修改后,仅对新接入的日志生效。
配置
说明
域名采集范围
需要采集日志的域名范围,修改后仅对新接入的日志生效。
字段采集范围
需要采集日志的字段范围,默认仅采集必选字段,修改后仅对新接入的日志生效。日志字段含义详见日志字段说明。
处置动作采集范围
基于请求类型及WAF执行的处置动作选择日志采集范围,默认采集全部动作类别,修改后仅对新接入的日志生效。
- 访问请求:记录未触发WAF防护规则及WAF放行的请求日志信息。
- 攻击请求:记录触发WAF防护规则后执行不同处置动作的请求日志信息,其中:
- 观察:包含触发处置动作为“观察” 的请求;
- 拦截:包含触发处置动作为“拦截” 的请求;
- 人机验证:包含触发处置动作为“人机验证”和“人机验证-拦截”的请求。