You need to enable JavaScript to run this app.
导航
大模型应用防火墙
  • 文档首页
    • /大模型应用防火墙/用户指南/日志详情/查看和分析日志
查看和分析日志
最近更新时间:2025.03.28 19:07:11首次发布时间:2025.03.28 19:07:11
我的收藏
有用
有用
无用
无用

日志功能支持为大模型应用防火墙上已添加的防护资源采集 Web 攻击及访问日志数据,并基于火山引擎日志服务提供检索分析、监控告警、数据可视化等功能,帮助您快速了解 Web 请求业务的状态和防护效果,以便及时处理异常。

注意事项

开通 WAF 日志服务时将自动创建 WAF 服务关联角色,该角色拥有 WAF 日志项目创建/回收及日志采集权限,在使用WAF 日志服务期间,请不要删除该授权,否则会影响到日志的采集及实例回收等操作。

前提条件

查看日志项目和主题

  1. 登录大模型应用防火墙控制台

  2. 在顶栏选择实例所属地域。

  3. 在左侧导航选择日志详情

  4. 鼠标悬浮于日志管理旁边的详情,可查看日志项目和日志主题信息。
    Image

    说明

    购买日志服务后,大模型应用防火墙会自动创建:

    • 关联角色 ServiceRoleForWaf,该角色拥有大模型应用防火墙日志采集权限。
    • 专属日志项目及日志主题。

    资源类型

    说明

    日志项目

    • 大模型应用防火墙自动创建的日志项目是基础的资源管理单位,且大模型应用防火墙日志项目不支持删除。
    • 专用日志项目命名方式为:waf-project-<account_id>-<region>,单击日志项目名称可以跳转到日志服务控制台查看项目信息。

    日志主题

    • 大模型应用防火墙日志项目下默认创建专用日志主题,日志主题是进行日志管理的基本单位。例如日志采集、存储、和查询分析等等。日志主题不支持通过 API、SDK 等方式写入除大模型应用防火墙日志外的其他类型数据,且不支持删除。
    • 专用日志项目命名固定为:waf-log,单击日志主题名称可以跳转到日志服务控制台查看相关信息。

快速筛选日志

支持根据域名、路径、源 IP、WAF 状态码、规则 ID、日志 ID、攻击类型和执行动作快速筛选日志。快速筛选条件将用于日志检索分析,可在查询结果中查看日志数量和趋势,在原始日志页面下查看日志详情。

  1. 登录大模型应用防火墙控制台

  2. 在顶栏选择实例所属地域。

  3. 在左侧导航选择日志详情

  4. 单击高级筛选展开筛选条件,按照域名或其他条件进行筛选。
    Image

    筛选参数

    说明

    域名

    需要检索分析的域名范围,默认为全部域名,支持切换为单个域名。

    路径

    需要检索分析的精确路径,不支持通配符。

    源 IP

    需要检索分析的单个源 IP 地址,不支持多个 IP 地址或 IP 段。

    WAF 状态码

    根据 WAF 返回的状态码信息进行筛选,支持单选或多选。

    • 0:未触发防护规则。
    • 200:放行。
    • 403:拦截。

    规则 ID

    触发的防护规则 ID,仅支持配置单个精确规则 ID。

    日志 ID

    根据日志 ID 检索。

    攻击类型

    触发的防护功能模块,支持单选或多选。

    执行动作

    面向触发防护规则的请求实际下发的处置动作,支持单选或多选。

  5. 单击查询
    在查询结果中可查看日志数量和趋势,在原始日志页面下可查看日志详情。

检索分析日志

  1. 登录大模型应用防火墙控制台
  2. 在顶栏选择实例所属地域。
  3. 在左侧导航选择日志详情
  4. 在检索分析语句输入框内,输入对应语句。
    Image
    • 如何通过检索条件筛选出符合条件的日志,可参考火山引擎日志服务检索功能说明,详见检索语法
    • 如何通过 SQL 语句进行日志统计分析,可参考火山引擎日志服务分析功能说明,请参见分析概述
    • 关于日志字段的详细说明,请参见日志字段说明

    说明

    多个检索语句间用空格分隔时,表示“或”逻辑,即等同于OR。例如warning error等同于warning OR error,表示检索内容中包含关键词warningerror的日志。

  5. 单击检索分析。
    下方会显示查询结果图表。
  6. (可选)设置查询图表时间范围和自动刷新。
    • 时间范围:默认展示近 3 天内的查询结果,支持自定义相对时间和绝对时间。
    • 自动刷新:自动刷新默认关闭,开启后可设置自动刷新频率。

查询与分析结果说明

原始日志

您可在原始日志页签下,查看查询的日志结果,并根据需要查看视图效果。默认按原始视图展示查询到的所有日志信息。
Image

  • 原始日志页面相关的操作说明。

    图标号

    功能

    说明

    显示所有字段

    开启后,展示查询结果中的所有字段。

    切换日志视图

    • 原始:日志内容的字段集中展示,该视图下可设置内容按字段换行、平铺 JSON 类字段和紧凑型布局。
    • 表格:日志按表格样式,不同字段分列展示。

    调整原始日志视图

    原始视图支持调整显示效果。

    • 换行:开启后,日志内容的字段将分行显示。
    • 过滤与预置字段:开启后,不展示部分预置字段,具体涉及的字段以界面提示信息为准。
    • 紧凑布局:开启后,日志时间和内容将合并显示,不再分列。
    • 更多配置:
      • 过滤空字段
      • 使用分页器翻页
      • 强制解析 JSON 字段

    搜索字段

    输入字段名称,可以检索对应字段。

    设置显示字段

    在隐藏字段列表中选择目标字段,单击⑤所示图标,可将该字段添加至显示字段列表中,右侧日志内容视图将展示选中的字段内容。

    调整字段显示顺序

    鼠标按住⑥所示图标上下拖动字段,可调整字段显示顺序。

    查看字段分布占比

    单击⑥所示图标,可查看该字段查询结果最多的前五个值,单击在图表中查看字段分布可前往图表分析页面查看该字段查询值的数据信息。

  • 字段名称左侧的标签为字段数据类型说明。

    • ddouble类型,指浮点型数据类型的字段。
    • llong类型,指整数类型的字段。
    • jjson类型,适用于格式为 JSON 对象的字段。
    • ttext类型,适用于字符串类型的字段。
      关于日志字段数据类型的详细说明,请参见索引数据类型

图表分析

您可在图表分析页签下,按选择合适的图表查看分析结果。支持按表格、折线图、柱状图、饼图和单值图样式展示。更多关于图表说明和配置的信息,请参见统计图表说明
Image