查看和分析日志

新版日志管理功能支持为 WAF 上已添加的防护资源采集 Web 攻击及访问日志数据，并基于火山引擎日志服务提供检索分析、监控告警、数据可视化等功能，帮助您快速了解 Web 请求业务的状态和防护效果，以便及时处理异常。

约束及限制

• WAF 根据所购日志服务规格分配日志容量，如设置的日志存储时长内对应的日志量超出已购日志容量，则仅在已购日志容量内采集日志数据。因日志容量超量或到期导致部分日志数据无法按预期时长存储时，可以按需升级或续费以保障日志数据按预期时长存储。
• 开通 WAF 日志服务时将自动创建 WAF 服务关联角色，该角色拥有 WAF 日志项目创建/回收及日志采集权限，在使用WAF 日志服务期间，请不要删除该授权，否则会影响到日志的采集及实例回收等操作。

前提条件

• 已购买 WAF 日志服务功能模块。
• 需要防护域名的流量已经调度到 WAF 集群。

查看日志项目和主题

1. 登录火山引擎 Web 应用防火墙控制台。

2. 在顶栏选择实例所属地域。

3. 在左侧导航选择日志管理，进入日志管理页面。

4. 鼠标悬浮于日志管理旁边的详情，可查看日志项目和日志主题信息。
   

   说明

   购买日志服务后，WAF 会自动创建：

   • 关联角色 ServiceRoleForWaf，该角色拥有 WAF 日志采集权限。
   • 专属日志项目及日志主题。

   资源类型	说明
   日志项目	WAF 自动创建的日志项目是基础的资源管理单位，且 WAF 日志项目不支持删除。 WAF 的专用日志项目命名方式为：waf-project-<account_id>-，单击日志项目名称可以跳转到日志服务控制台查看项目信息。
   日志主题	WAF 日志项目下默认创建专用日志主题，日志主题是进行日志管理的基本单位。例如日志采集、存储、和查询分析等等。WAF日志主题不支持通过API、SDK等方式写入除WAF日志外的其他类型数据，且不支持删除。 WAF 专用日志项目命名固定为：waf-log，单击日志主题名称可以跳转到日志服务控制台查看相关信息。

快速筛选日志

支持根据域名、路径、源 IP、WAF 状态码、风险等级、规则 ID、攻击类型和执行动作快速筛选日志。快速筛选条件将用于日志检索分析，可在查询结果中查看日志数量和趋势，在原始日志页面下查看日志详情。

1. 登录火山引擎 Web 应用防火墙控制台。

2. 在顶栏选择实例所属地域。

3. 在左侧导航选择日志管理，进入日志管理页面。

4. 进行域名筛选或其他快捷筛选。
   

   筛选参数	说明
   域名	需要检索分析的域名范围，默认为全部域名，支持切换为单个精确域名。
   路径	需要检索分析的精确路径，不支持通配符。
   源 IP	需要检索分析的单个源 IP 地址，不支持多个 IP 地址或 IP 段。
   WAF 状态码	根据 WAF 返回的状态码信息进行筛选，支持单选或多选。 0：未触发防护规则。 200：放行。 403：拦截。
   风险等级	判定攻击的风险情况，分为高危、中危、低危，支持单选或多选。
   规则 ID	触发的防护规则 ID，仅支持配置单个精确规则 ID。
   攻击类型	触发的防护功能模块，支持单选或多选。
   执行动作	面向触发防护规则的请求实际下发的处置动作，支持单选或多选。

5. 单击查询。
   在查询结果中可查看日志数量和趋势，在原始日志页面下可查看日志详情。

检索分析日志

1. 登录火山引擎 Web 应用防火墙控制台。
2. 在顶栏选择实例所属地域。
3. 在左侧导航选择日志管理，进入日志管理页面。
4. 在检索分析语句输入框内，输入对应语句。
   
   • 如何通过检索条件筛选出符合条件的日志，可参考火山引擎日志服务检索功能说明，详见检索语法。
   • 如何通过 SQL 语句进行日志统计分析，可参考火山引擎日志服务分析功能说明，请参见分析概述。
   • 关于日志字段的详细说明，请参见日志字段说明。

   说明

   多个检索语句间用空格分隔时，表示“或”逻辑，即等同于OR。例如warning error等同于warning OR error，表示检索内容中包含关键词warning或error的日志。

5. 单击检索分析。
   下方会显示查询结果图表。
6. （可选）设置查询图表时间范围和自动刷新。
   • 时间范围：默认展示近 3 天内的查询结果，支持自定义相对时间和绝对时间。
   • 自动刷新：自动刷新默认关闭，开启后可设置自动刷新频率。

创建定时 SQL 分析任务

日志服务支持通过控制台创建定时 SQL 任务，定时对日志主题进行检索分析，并将处理后的日志数据保存到目标日志主题中。

1. 登录火山引擎 Web 应用防火墙控制台。

2. 在顶栏选择实例所属地域。

3. 在左侧导航选择日志管理，进入日志管理页面。

4. 在原始日志右上角单击存为定时 SQL 分析。
   

5. 配置定时 SQL 任务参数。

   配置	说明
   任务名称	定时 SQL 分析任务的任务名称。需符合以下规则： 长度为 3~63 个字符。 支持小写字母、数字、中文、连字符（-）。 必须以小写字母、数字、中文开头和结尾。
   描述	定时 SQL 分析任务的简单描述。64 个字符以内。
   源日志主题	待进行定时 SQL 分析的原始日志所在的日志主题。
   目标日志主题	执行定时 SQL 分析任务后，处理后的日志数据存储的日志项目与日志主题。 说明 如果没有合适的日志主题，可以根据页面提示创建一个。 如果日志主题没有配置索引，否则创建定时 SQL 分析任务会失败。
   任务状态	是否立即启动定时 SQL 分析任务。 默认为开启状态，即完成任务配置后立即启动定时 SQL 分析任务。若未开启，完成配置后定时 SQL 分析任务为已暂停状态，需要手动启动任务。

6. 单击下一步：SQL 分析规则配置。

7. 配置 SQL 分析规则相关参数。
   关于 SQL 分析相关原理和具体规则配置，可参见 SQL 定时分析原理和创建 SQL 定时分析任务。

查询与分析结果说明

原始日志

您可在原始日志页签下，查看查询的日志结果，并根据需要查看视图效果。默认按原始视图展示查询到的所有日志信息。

• 原始日志页面相关的操作说明。

  图标号	功能	说明
  ①	切换日志视图	原始：日志内容的字段集中展示，该视图下可设置内容按字段换行、平铺 JSON 类字段和紧凑型布局。 表格：日志按表格样式，不同字段分列展示。
  ②	过滤空字段	开启后，查询结果为空的字段将被过滤，不展示在日志列表中。
  ③	调整原始日志视图	原始视图支持调整显示效果。 换行：开启后，日志内容的字段将分行显示。 平铺 JSON 类字段：开启后，JSON 类型字段将以平铺样式展示，即其每个子字段都展开显示。 紧凑布局：开启后，日志时间和内容将合并显示，不再分列。
  ④	搜索字段	输入字段名称，可以检索对应字段。
  ⑤	设置显示字段	在隐藏字段列表中选择目标字段，单击⑤所示图标，可将该字段添加至显示字段列表中，右侧日志内容视图将展示选中的字段内容。
  ⑥	调整字段显示顺序	鼠标按住⑥所示图标上下拖动字段，可调整字段显示顺序。
  	查看字段分布占比	单击⑥所示图标，可查看该字段查询结果最多的前五个值，单击在图表中查看字段分布可前往图表分析页面查看该字段查询值的数据信息。

• 字段名称左侧的标签为字段数据类型说明。

  • d：double类型，指浮点型数据类型的字段。
  • l：long类型，指整数类型的字段。
  • j：json类型，适用于格式为 JSON 对象的字段。
  • t：text类型，适用于字符串类型的字段。
    关于日志字段数据类型的详细说明，请参见索引数据类型。

图表分析

您可在图表分析页签下，按选择合适的图表查看分析结果。支持按表格、折线图、柱状图、饼图和单值图样式展示。更多关于图表说明和配置的信息，请参见统计图表说明。