开启WAF全量日志功能后，您可以将攻击日志、访问日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

本实践以日志组“lts-waf”的访问日志流“lts-waf-access”为例，说明如何通过LTS快速查询分析日志。

前提条件

防护网站已成功接入WAF。
WAF已开启全量日志。

操作步骤

登录管理控制台。
单击管理控制台左上角的，选择区域或项目。
单击页面左上方的，选择“管理与监管 > 云日志服务”，进入“日志管理”页面。
在“日志组名称”列，单击访问日志流所在的日志组名称（例如，“lts-waf”），进入日志流页面。
在“日志流名称”列，单击访问日志流名称（例如，“lts-waf-access”），如图1所示，进入“原始日志”页面。

图1 进入访问日志流页面

在左侧导航树中，选择“配置中心”，进入“日志内容”页面。
选择“JSON”日志结构化方式，如图2所示。

图2 选择JSON格式

如果日志流已配置日志内容，您可以在“配置参数”区域右上方单击，重新配置日志内容。

在“步骤1 选择示例日志”区域，单击“从已有日志中选择”，在弹出“选择已有日志”对话框中任选一条日志后，单击“确定”。

图3 选择已有日志

在“步骤2 字段提取”区域，单击“智能提取”，开启需要快速分析的字段（例如，“remote_ip”），如图4所示。

“remote_ip”：访问请求的客户端IP地址。

图4 选择快速分析日志字段

单击“保存”，LTS将对周期内的日志进行快速分析、统计，如图5所示。

图5 快速分析访问日志

在左侧导航树中，选择“可视化”，在页面右侧选择日志查询时间段，在搜索框中输入SQL语句后单击“执行查询”，查询指定日志。

您可以在搜索框中输入如下SQL语句，查询指定IP的日志：

select * where remote_ip = ‘xx.xx.xx.xx’ 或者select * where remote_ip like ‘xx.xx.xx%’

有关SQL查询语法的详细介绍，请参见SQL查询语法。

父主题： 通过LTS分析WAF日志

同意关联代理商云淘科技，购买华为云产品更优惠（QQ 78315851）

内容没看懂？ 不太想学习？想快速解决？ 有偿解决： 联系专家