首页 > 其他分享 >云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙

时间:2022-12-02 16:08:23浏览次数:72  
标签:Web 单击 运维 云小课 华为 全量 WAF 日志

阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容​​请单击此处。​

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_SQL

摘要:云日志服务用于收集来自主机和云服务的日志数据,通过海量日志数据的分析与处理,可以将云服务和应用程序的可用性和性能最大化,为您提供实时、高效、安全的日志处理能力,帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。

本文分享自华为云社区《​​【云小课】应用平台第33课 基于华为云WAF(Web应用防火墙)的日志运维分析,为你构筑设备安全的铜墙铁壁​​》,作者:阅识风云。

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_Web_02

WAF(Web应用防火墙)通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入等攻击,所有请求流量经过WAF时,WAF会记录攻击和访问的日志,可实时决策分析、对设备进行运维管理以及业务趋势分析。

前提条件:

  • 购买并使用华为云WAF实例。

限制条件:

  • 仅云模式支持全量日志功能。
  • 支持全量日志功能的区域为:华北-北京一、华北-北京四、华东-上海一、华东-上海二、中国-香港、亚太-曼谷、亚太-莫斯科、华北-乌兰察布一 、华南-广州。

设置步骤:

  1. 在WAF添加防护网站。
  1. 登录管理控制台。
  2. 在控制台左上角单击按钮,选择区域和项目。
  3. 在系统首页左上角单击按钮,选择“安全与合规 > Web应用防火墙 WAF”,进入Web应用防火墙管理控制台。
  4. 根据添加防护域名添加需要防护的网站,使网站流量切入WAF。
  1. 开启全量日志功能,将WAF日志记录到LTS,详细操作请参见开启全量日志。
  2. 在Web应用防火墙管理控制台,单击“防护事件”,选择“全量日志”页签。开启全量日志,选择已创建的日志组与日志流。如未创建日志组与日志流,请先创建日志组和创建日志流。
  3. 单击“确定”,全量日志配置成功。

图1 配置全量日志

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_WAF_03

3.在日志流详情页面,单击左侧导航栏“配置中心”,选择“结构化配置”,进入日志结构化配置页面,选择“JSON”提取方式,根据业务需求选择日志,配置相关参数,具体操作请参见日志结构化。

图2配置JSON格式日志

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_Web_04

4.在日志流详情页面,单击“可视化”页签,进行SQL查询与分析,如需要多样化呈现查询结果,请参考日志结构化进行配置。

  • 统计1周内攻击次数,具体SQL查询分析语句如下所示:
select count(*) as attack_times

图3 攻击次数查询结果

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_WAF_05

  • 统计1天不同攻击类型的分布,具体SQL查询分析语句如下所示:
select attack,count(*) as times group by attack

查询结构有五种呈现形式依上而下分别为表格、柱状图、折线图、饼图、数字,如下图为饼图结果。

图4不同攻击类型的分布查询结果

云小课|基于华为云WAF的日志运维分析,构筑设备安全的城墙_结构化_06

点击“​​了解更多​​”,华为云云日志服务LTS等着您!


点击关注,第一时间了解华为云新鲜技术~

标签:Web,单击,运维,云小课,华为,全量,WAF,日志
From: https://blog.51cto.com/u_15214399/5907082

相关文章