检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在LTS页面分析华为云WAF日志 方案概述 WAF(Web应用防火墙)通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入等攻击,所有请求流量经过WAF时,WAF会记录攻击和访问的日志,可实时决策分析、对设备进行运维管理以及业务趋势分析。
Web应用防火墙WAF接入LTS 支持Web应用防火墙 WAF接入LTS。 具体接入方法请参见通过LTS记录WAF全量日志。 父主题: 使用云服务接入LTS
使用日志搜索与分析(默认推荐)时,对应的WAF仪表盘模板支持查看WAF安全日志中心和查看WAF访问日志中心。 前提条件 已采集WAF日志,详情请参考Web应用防火墙WAF接入LTS。 日志配置结构化,详情请参见设置云端结构化解析日志。 查看WAF安全日志中心 登录云日志服务控制台,在左侧导航栏中选择“仪表盘
需要开通管道符后,使用日志搜索与分析(管道符方式-邀测)时,对应的WAF仪表盘模板支持查看WAF安全日志中心和查看WAF访问日志中心。 前提条件 已采集WAF日志,详情请参考Web应用防火墙WAF接入LTS。 日志配置结构化,详情请参见设置云端结构化解析日志。 查看WAF安全日志中心 登录云日志服务控制台,在左侧导航栏中选择“仪表盘
字符集判断 str_isalnum 判断字符串是否仅由字母和数字组成。 函数格式 str_isalnum(value) 参数说明 参数名称 参数类型 是否必填 说明 value 任意(自动转为String) 是 需要被检测的字符串。 返回结果 true/false。 函数示例 测试数据
使用DSL加工函数进行事件判断 通过事件判断可以更好地对符合特定条件的数据进行相应操作,让加工逻辑更可靠。本文主要介绍使用函数进行事件判断的常见场景和最佳方案示例。 场景一:判断字段是否存在 原始日志 { "a": "a_value" } 加工规则 e_if(e_has("a")
17 str_endswith 判断字符串是否以指定后缀结尾。 函数格式 str_endswith(value, suffix, start, end) 参数说明 参数名称 参数类型 是否必填 说明 value 任意(自动转为String) 是 需要被判断的原字符串。 suffix 任意(自动转为String)
本实践主要介绍将ELB日志接入LTS后,配置日志结构化后,支持使用仪表盘将日志可视化,可以更直观的分析日志数据。 日志搜索与分析 在LTS页面分析华为云WAF日志 本实践主要介绍将WAF日志接入LTS后,配置日志结构化后,即可进行日志搜索分析。 日志搜索与分析 在LTS页面分析Log4j格式的应用运行日志 L
本文介绍事件操作函数的语法规则,包括参数解释、函数示例等。 函数列表 类型 函数 说明 事件操作 e_drop 根据条件判断是否丢弃日志。支持和其他函数组合使用。 e_keep 根据条件判断是否保留日志。 e_keep函数和e_drop函数都会丢弃日志。e_keep函数在不满足条件时丢弃,而e_drop函数则是在满足条件时丢弃。
场景六:使用e_if函数或e_switch函数判断日志并增加字段 推荐使用e_if函数或e_switch函数进行日志判断。更多信息,请参见流程控制函数。 e_if函数 e_if(条件1, 操作1, 条件2, 操作2, 条件3, 操作3, ....) e_switch函数 e_sw
t有误。 排查方法 请按如下步骤排查。 确认ICAgent采集开关是否开启。 登录云日志服务控制台。 选择“配置中心”。 在“ICAgent采集开关”页签,确认ICAgent采集开关是否开启。若没有开启,则需要开启ICAgent采集开关。 检查最近一次下发的ICAgent采集开关配置。
基本方法 e_has 判断日志字段是否存在。 e_not_has 判断日志字段是否不存在。支持和其他函数组合使用。 表达式函数 e_search 提供一种简化,类似Lucene语法的事件搜索方式。支持和其他函数组合使用。 e_match 判断当前日志字段的值是否满足正则表达式。支持和其他函数组合使用。
如何转储云审计服务CTS的日志? 云审计CTS与LTS进行系统对接后,系统自动在云日志服务控制台创建日志组和日志流,如果需要将CTS的日志转储至OBS中,您需要进行以下操作: 在云审计服务管理控制台,单击左侧导航栏中的“追踪器”。 单击追踪器“system”操作列的“配置”。 进入基本信息页面,单击下一步。
ELB仪表盘模板(独享型) ER仪表盘模板 LTS仪表盘模板 METRIC仪表盘模板 NGINX仪表盘模板 VPC仪表盘模板 WAF仪表盘模板(默认搜索方式) WAF仪表盘模板(管道符方式) 采集诊断仪表盘模板 父主题: 使用仪表盘将日志可视化
Mongo错误日志 根据GeminiDB Mongo错误日志资料中提供的日志字段被定义。 否 否 WAF访问日志 根据WAF访问日志资料中提供的日志字段被定义。 否 否 WAF攻击日志 根据WAF攻击日志资料中提供的日志字段被定义。 否 否 DMS重平衡日志 根据DMS重平衡日志资料中提供的日志字段被定义。
Mongo错误日志 根据GeminiDB Mongo错误日志资料中提供的日志字段被定义。 否 否 WAF访问日志 根据WAF访问日志资料中提供的日志字段被定义。 否 否 WAF攻击日志 根据WAF攻击日志资料中提供的日志字段被定义。 否 否 DMS重平衡日志 根据DMS重平衡日志资料中提供的日志字段被定义。
付宝/快应用SDK上报日志到LTS的场景下,需要开启日志流的匿名写入功能,开启后上报日志没有经过有效鉴权,可能产生脏数据。 登录云日志服务控制台。 在日志管理页面,单击日志组名称对应的。 单击“创建日志流”。 在创建日志流页面,开启“匿名写入”,适用于端侧SDK上报日志,打开匿名
在LTS页面如何停止计费 云日志服务可以采集主机和云服务的日志数据,如需停止计费,请参考如下操作: 主机日志:通过ICAgen进行采集,当日志超过每月免费赠送的额度(500M)时,超过的部分将按需收费,如果每月免费赠送的额度已经可以满足您的使用需求,超过后希望暂停日志收集,可以在
日志搜索与分析 在LTS页面分析华为云ELB日志 通过LTS仪表盘可视化ELB日志分析结果 在LTS页面分析华为云WAF日志 在LTS页面分析Log4j格式的应用运行日志 将LTS日志查询页面嵌入用户自建系统 分页显示查询分析结果 使用时间函数将日志时间字段转换为指定格式
控制台进行一系列操作,例如搜索与分析日志、使用统计图表或仪表盘可视化展示日志统计结果、设置日志告警、设置日志转储等。 日志接入前,需要确认开启ICAgent采集开关,请参考设置LTS日志采集配额和使用量预警。 采集开关默认打开,当您不需要采集日志时,可通过关闭采集开关来停止日志采集,以减少资源占用。