Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Web Application Firewall> Guía del usuario> Gestión de Eventos> Consulta de registros de eventos de protección
Actualización más reciente 2023-09-21 GMT+08:00
Ver PDF

Consulta de registros de eventos de protección

En la página Events, puede ver los eventos generados por ataques bloqueados y solo ataques registrados. Puede ver los detalles de los eventos WAF, incluida la hora en que se produce un evento, la dirección IP del servidor de origen, la ubicación geográfica de la dirección IP del servidor de origen, la carga maliciosa y la regla de aciertos.

  • En la consola WAF, puede ver los datos de eventos de todos los nombres de dominio protegidos durante los últimos 30 días. Puede habilitar Log Tank Service (LTS) en WAF para el almacenamiento de registros a largo plazo. En LTS, puede ver los detalles del registro de ataques y acceso. Para más detalles, consulte Habilitación de LTS para el registro de WAF.
  • Si cambia el modo de trabajo WAF de un sitio web a Suspended, WAF solo reenvía todas las solicitudes al sitio web sin inspección. Tampoco registra ningún evento de ataque.
  • Si ha habilitado proyectos de empresa, puede seleccionar su proyecto de empresa en la lista desplegable Enterprise Project y ver los registros de eventos de protección en el proyecto.

Prerrequisitos

El sitio web a proteger se ha conectado a WAF.

Procedimiento

  1. Inicie sesión en la consola de gestión
  2. Haga clic en la esquina superior izquierda de la consola de gestión y seleccione una región o proyecto.
  3. Haga clic en la esquina superior izquierda y elija Web Application Firewall en Security & Compliance.
  4. En el panel de navegación de la izquierda, seleccione Events.
  5. Haga clic en la pestaña Search. En la lista desplegable del sitio web o de la instancia, seleccione un sitio web para ver los registros de eventos correspondientes. El tiempo de consulta puede ser Yesterday, Today, Past 3 days, Past 7 days, Past 30 days, o un rango de tiempo que configure. Tabla 1 enumera los parámetros relacionados.

    Figura 1 Consulta de eventos de protección
    Tabla 1 Parámetros de registro

    Parámetro

    Descripción

    Valor de ejemplo

    Time

    Cuando se produjo el ataque

    2021/02/04 13:20:04

    Source IP Address

    Dirección IP pública del visitante/ataque de la web

    None

    Geolocation

    Ubicación desde la que se origina la dirección IP del ataque

    Shanghai

    Domain Name

    Nombre de dominio atacado

    www.example.com

    URL

    URL atacada

    /admin

    Malicious Load

    La ubicación o parte del ataque que causa daño o el número de veces que se accedió a la URL.

    NOTA:
    • En un ataque de CC, la carga maliciosa indica el número de veces que se accedió a la URL.
    • Para los eventos de protección de la lista negra, la carga maliciosa se deja en blanco.

    id=1 and 1='1

    Event Type

    Tipo de ataque

    SQL injection

    Hit Rule

    ID de la regla de protección web básica incorporada afectada por el evento de ataque.

    Este campo se muestra si el evento de ataque coincide con una de las reglas básicas de protección web. Por ejemplo, ataques de inyección SQL, XSS e inclusión de archivos.

    223633

    Protective Action

    Acciones de protección configuradas en la regla. Las opciones son Block, Log only, y Verification code.

    NOTA:

    Si una solicitud de acceso coincide con una regla de protección contra manipulaciones web, una regla de prevención de fugas de información o una regla de enmascaramiento de datos, la acción de protección se marca como Mismatch.

    Block

    Status Code

    Código de estado HTTP devuelto en la página de bloque.

    418

    Para ver los detalles del evento, haga clic en Details en la columna Operation de la lista de eventos.

Tema principal: Gestión de Eventos