本文分享自華為雲社群《【雲小課】應用平台第33課 基于華為雲WAF(Web應用防火牆)的日志運維分析,為你構築裝置安全的銅牆鐵壁-雲社群-華為雲》,作者:閱識風雲。
WAF(Web應用防火牆)通過對HTTP(S)請求進行檢測,識别并阻斷SQL注入、跨站腳本攻擊、網頁木馬上傳、指令/代碼注入等攻擊,所有請求流量經過WAF時,WAF會記錄攻擊和通路的日志,可實時決策分析、對裝置進行運維管理以及業務趨勢分析。
前提條件
- 購買并使用華為雲WAF執行個體。
限制條件
- 僅雲模式支援全量日志功能。
- 支援全量日志功能的區域為:華北-北京一、華北-北京四、華東-上海一、華東-上海二、中國-香港、亞太-曼谷、亞太-莫斯科、華北-烏蘭察布一 、華南-廣州。
設定步驟
1、在WAF添加防護網站。登入管理控制台。
- 在控制台左上角單擊,選擇區域和項目。
- 在系統首頁左上角單擊,選擇“安全與合規 > Web應用防火牆 WAF”,進入Web應用防火牆管理控制台。
- 根據添加防護域名添加需要防護的網站,使網站流量切入WAF。
2、開啟全量日志功能,将WAF日志記錄到LTS,詳細操作請參見開啟全量日志。
- 在Web應用防火牆管理控制台,單擊“防護事件”,選擇“全量日志”頁簽。開啟全量日志,選擇已建立的日志組與日志流。如未建立日志組與日志流,請先建立日志組和建立日志流。
- 單擊“确定”,全量日志配置成功。
圖1 配置全量日志
3、在日志流詳情頁面,單擊左側導航欄“配置中心”,選擇“結構化配置”,進入日志結構化配置頁面,選擇“JSON”提取方式,根據業務需求選擇日志,配置相關參數,具體操作請參見日志結構化。
圖2 配置JSON格式日志
4、在日志流詳情頁面,單擊“可視化”頁簽,進行SQL查詢與分析,如需要多樣化呈現查詢結果,請參考日志結構化進行配置。
- 統計1周内攻擊次數,具體SQL查詢分析語句如下所示:
select count(*) as attack_times 圖3 攻擊次數查詢結果
- 統計1天不同攻擊類型的分布,具體SQL查詢分析語句如下所示:
select attack,count(*) as times group by attack 查詢結構有五種呈現形式依上而下分别為表格、柱狀圖、折線圖、餅圖、數字,如下圖為餅圖結果。
圖4 不同攻擊類型的分布查詢結果
點選下方,第一時間了解華為雲新鮮技術~
華為雲部落格_大資料部落格_AI部落格_雲計算部落格_開發者中心-華為雲