Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Web Application Firewall/ Guia de usuário/ Gerenciamento de eventos/ Exibição de registros de eventos de proteção
Atualizado em 2023-09-21 GMT+08:00

Exibição de registros de eventos de proteção

Na página Events, você pode visualizar eventos gerados para ataques bloqueados e somente ataques registrados. Você pode exibir detalhes de eventos do WAF, incluindo a hora em que um evento ocorre, o endereço IP do servidor de origem, a localização geográfica do endereço IP do servidor de origem, a carga maliciosa e a regra de acerto.

  • No console do WAF, você pode exibir os dados de eventos de todos os nomes de domínio protegidos nos últimos 30 dias. Você pode ativar o Serviço de Tanque de Logs (LTS) no WAF para armazenamento de log de longo prazo. No LTS, você pode visualizar os detalhes do registro de ataque e acesso. Para mais detalhes, veja Ativa LTS para registro em log do WAF.
  • Se você alternar o modo de trabalho do WAF de um site para Suspended, o WAF só encaminhará todas as solicitações para o site sem inspeção. Ele também não registra nenhum evento de ataque.
  • Se você tiver ativado projetos da empresa, poderá selecionar seu projeto da empresa na lista suspensa Enterprise Project e exibir logs de eventos de proteção no projeto.

Pré-requisitos

O site a ser protegido foi conectado ao WAF.

Procedimento

  1. Efetue login no console de gerenciamento.
  2. Clique em no canto superior esquerdo do console de gerenciamento e selecione uma região ou projeto.
  3. Clique em no canto superior esquerdo e escolha Web Application Firewall em Security & Compliance.
  4. No painel de navegação à esquerda, escolha Events.
  5. Clique na guia Search. Na lista suspensa de site ou instância, selecione um site para exibir os logs de eventos correspondentes. O tempo de consulta pode ser Yesterday, Today, Past 3 days, Past 7 days, Past 30 days, ou um intervalo de tempo configurado por você. Tabela 2 lista os parâmetros relacionados.

    Figura 1 Exibindo eventos de proteção
    Tabela 1 Parâmetros do evento

    Parâmetro

    gerais

    Tipo de evento

    Tipo do ataque.

    Por padrão, All é selecionado. Você pode exibir logs de todos os tipos de ataque ou selecionar um tipo de ataque para exibir os logs de ataque correspondentes.

    Ação Protetora

    As opções são Block, Log only, e Verification code.

    Endereço IP de origem

    Endereço IP público do visitante / invasor da web

    Por padrão, All é selecionado. Você pode exibir logs de todos os endereços IP de origem de ataque, selecionar um endereço IP de origem de ataque ou inserir um endereço IP de origem de ataque para exibir os logs de ataque correspondentes.

    URL

    URL atacada.

    ID do evento

    ID do evento.

    Tabela 2 Parâmetros na lista de eventos

    Parâmetro

    Descrição

    Valor de exemplo

    Horário

    Quando o ataque ocorreu

    2021/02/04 13:20:04

    Endereço IP de origem

    Endereço IP público do visitante / invasor da web

    Nenh

    Geolocalização

    Local de onde se origina o endereço IP do ataque

    -

    Nome de domínio

    Nome de domínio atacado

    www.example.com

    URL

    URL atacada

    /admin

    Carga maliciosa

    O local ou parte do ataque que causa danos ou o número de vezes que a URL foi acessada.

    NOTA:
    • Em um ataque CC, a carga maliciosa indica o número de vezes que a URL foi acessada.
    • Para eventos de proteção de lista negra, a carga maliciosa é deixada em branco.

    id=1 e 1='1

    Tipo de evento

    Tipo de ataque

    Injeção de SQL

    Regra de Hit

    ID da regra de proteção da Web básica interna atingida pelo evento de ataque.

    Esse campo é exibido se o evento de ataque corresponder a uma das regras básicas de proteção da Web. Por exemplo, injeção de SQL, XSS e ataques de inclusão de arquivos.

    223633

    Ação Protetora

    Ações de proteção configuradas na regra. As opções são Block, Log only, e Verification code.

    NOTA:

    Se uma solicitação de acesso corresponder a uma regra de proteção contra violação da Web, regra de prevenção contra vazamento de informações ou regra de mascaramento de dados, a ação de proteção será marcada como Mismatch.

    Bloqueio

    código de status

    Código de status HTTP retornado na página de bloqueio.

    418

    Para exibir detalhes do evento, clique em Details na coluna Operation da lista de eventos.