云小课｜基于华为云 WAF 的日志运维分析，构筑设备安全的城墙

本文分享自华为云社区《【云小课】应用平台第33课 基于华为云WAF（Web应用防火墙）的日志运维分析，为你构筑设备安全的铜墙铁壁》，作者：阅识风云。

WAF（Web 应用防火墙）通过对 HTTP(S)请求进行检测，识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令/代码注入等攻击，所有请求流量经过 WAF 时，WAF 会记录攻击和访问的日志，可实时决策分析、对设备进行运维管理以及业务趋势分析。

前提条件

• 购买并使用华为云 WAF 实例。

限制条件

• 仅云模式支持全量日志功能。

• 支持全量日志功能的区域为：华北-北京一、华北-北京四、华东-上海一、华东-上海二、中国-香港、亚太-曼谷、亚太-莫斯科、华北-乌兰察布一 、华南-广州。

设置步骤

1、在 WAF 添加防护网站。登录管理控制台。

• 在控制台左上角单击

• ，选择区域和项目。

• 在系统首页左上角单击

• ，选择“安全与合规 > Web 应用防火墙 WAF”，进入 Web 应用防火墙管理控制台。

• 根据添加防护域名添加需要防护的网站，使网站流量切入 WAF。

2、开启全量日志功能，将 WAF 日志记录到 LTS，详细操作请参见开启全量日志。

• 在 Web 应用防火墙管理控制台，单击“防护事件”，选择“全量日志”页签。开启全量日志

• ，选择已创建的日志组与日志流。如未创建日志组与日志流，请先创建日志组和创建日志流。

• 单击“确定”，全量日志配置成功。

图 1 配置全量日志

点击放大

3、在日志流详情页面，单击左侧导航栏“配置中心”，选择“结构化配置”，进入日志结构化配置页面，选择“JSON”提取方式，根据业务需求选择日志，配置相关参数，具体操作请参见日志结构化。

图 2 配置 JSON 格式日志

点击放大

4、在日志流详情页面，单击“可视化”页签，进行 SQL 查询与分析，如需要多样化呈现查询结果，请参考日志结构化进行配置。

• 统计 1 周内攻击次数，具体 SQL 查询分析语句如下所示：

select count(*) as attack_times

图 3 攻击次数查询结果

点击放大

• 统计 1 天不同攻击类型的分布，具体 SQL 查询分析语句如下所示：

select attack,count(*) as times group by attack

查询结构有五种呈现形式依上而下分别为表格、柱状图、折线图、饼图、数字，如下图为饼图结果。

图 4 不同攻击类型的分布查询结果

点击放大

点击关注，第一时间了解华为云新鲜技术~