文档首页> Web应用防火墙 WAF> 最佳实践> 通过LTS分析WAF日志> 通过LTS实时分析Spring core RCE漏洞的拦截情况
更新时间:2024-01-05 GMT+08:00
分享

通过LTS实时分析Spring core RCE漏洞的拦截情况

开启WAF全量日志功能后,您可以将攻击日志(attack)记录到云日志服务(Log Tank Service,简称LTS)中,通过LTS记录的WAF攻击日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。

本实践通过将WAF的攻击日志开启LTS快速分析,再通过Spirng规则ID快速查询并分析被拦截的Spring core RCE漏洞的日志。

前提条件

  • 防护网站已成功接入WAF。
  • WAF已开启全量日志,将WAF的攻击日志流对接到LTS。
  • 已获取Spirng规则ID。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择管理与监督 > 云日志服务,进入“日志管理”页面。

    图1 单击攻击日志流名称

  4. 在日志组列表中,展开waf日志组,选择日志流“attack”
  5. 在日志流详情页面,单击右上角,在弹出页面中,选择“云端结构化解析”页签,进入日志结构化配置页面。
  6. 选择“JSON”日志结构化方式,单击“从已有日志中选择”,在右侧弹框中任意选择一条日志。
  7. 单击“智能提取”,筛选出需要“快速分析”的字段,打开这些字段在“快速分析”列的开关,打开后,可以对周期类日志进行统计分析。

    图2 日志提取字段

  8. 找到“category”字段,单击该字段“别名”列的,修改该字段名称并单击保存设置。

    该字段名称与系统内置字段 category 重复了,需要修改后才能保存成功。

  9. 在列表右下方,单击“保存”,LTS将对周期内的日志进行快速分析、统计。
  10. 在左侧导航树中,选择“可视化”,输入以下命令,并单击“执行查询”,可查看到被拦截的Spring core RCE漏洞的日志。

    select rule, hit_data where rule IN('XX','XX','XX','XX',)

    有关SQL查询语法的详细介绍,请参见SQL查询语法

    • XX代表Spring core RCE漏洞的规则ID,请提前获取。
    • 可视化查询功能当前只针对“北京4”白名单用户可用。
    图3 可视化查询

分享:

    相关文档

    相关产品