阿里云登陆日志_Web 应用防火墙：日志查询

网站域名开启WAF日志采集后，您可以使用日志查询功能对采集到的日志数据进行实时查询分析，生成统计图表，并根据查询和分析结果创建告警。

先决条件已

开通WAF日志服务。有关更多信息，请参阅 。

登录WAF控制台查询分析日志，在顶部导航栏，选择WAF实例的资源组和地域（中国大陆和非中国大陆）。在左侧导航栏，选择安全运营>日志服务。在域名下拉列表中选择需要开启日志采集的网站域名，打开右侧状态开关，开启网站域名的日志采集功能。

这

域名下拉列表（如图1所示）仅包含已连接WAF的网站的域名。如果您尚未在WAF中添加域名，则需要先将域名添加到网站中。有关更多信息，请参阅 。

在日志查询页签，使用查询分析语句查询分析WAF日志数据。

在语句输入框（图（1））中，输入查询语句。

为

关于日志服务使用的语法，请参见查询语句。关于WAF日志中作为查询字段包含的字段，请参见支持的查询字段。

如果您不了解日志查询语法，建议您使用高级搜索。您只需在语句输入框上方展开高级搜索，设置好搜索条件，点击搜索，语句输入框中即可自动生成与搜索条件匹配的日志查询语句。下表描述了高级搜索支持的搜索条件。搜索条件的说明

知识产权

发起请求的客户端的 IP 地址。

跟踪 ID

WAF为客户端请求生成的唯一标识符。当WAF将阻止页面或滑块验证响应返回给客户端进行问题分析和故障排除时，将提供此ID。

规则 ID

请求的 WAF 防护规则的 ID。您可以在系统管理>的“安全报告”或“保护规则组”页面获取规则ID。

服务器响应状态代码

源站响应WAF检索请求时使用的HTTP状态码。

WAF返回客户端响应码

WAF响应客户端请求时使用的HTTP状态码。

阻止规则

请求命中的 WAF 保护规则类型。关于WAF防护模块以及如何配置不同模块的防护规则，请参见

如果要对查询结果进行计算统计分析，可以在语句输入框中输入查询语句后输入分析语句（图（1））。如果您只需要查询符合条件的日志数据，请跳过此步骤。

这

分析语句和查询语句之间用竖线 （|） 分隔。分析语句使用标准 SQL92 语法。

使用时间选择器（如图 2 所示）修改日志查询的时间范围。单击 Query/（图 （3））。

这

查询分析结果（即符合查询条件的WAF日志数据）显示在页面底部，包括日志分布直方图、原始日志、统计图表等。您可以根据查询结果进行快速分析、生成统计图表和设置告警。有关详细信息，请参见。

有关日志查询和分析的详细信息，请参见。

操作查询并分析结果

WAF版日志服务以日志分布直方图、原始日志、统计图表等形式展示查询分析结果，支持设置告警、快速查询等操作。

原始日志

您可以在原始日志页签查看日志查询结果。

单击“换行”以关闭或启用“换行日志”。单击“时间”以启用“按时间顺序显示日志”。点击

图标将日志下载到本地计算机，包括直接下载、Cloud Shell 和命令行工具。有关详细信息，请参见。点击

图标用于配置标签设置、列设置、JSON 设置和事件设置。

统计图表

在图表页签，您可以查看查询和分析结果的可视化效果。您必须先在“语句”输入框中输入 SQL92 语句，然后才能在“图表”选项卡上查看相应的图表。

日志群集

在日志集群页签，单击开启日志集群，采集日志时聚合相似度高的日志。有关详细信息，请参见。

创建警报

您可以根据当前查询和分析语句创建告警。告警创建成功后，日志服务会定期检查查询和分析结果，并在检查结果满足预设条件时向您发送告警通知，以便您实时监控服务状态。

在“查询与分析”页面，选择“另存为告警>”，为查询和分析结果设置告警。有关详细信息，请参见。

查询和分析案例