查询攻击日志

功能介绍

查询攻击日志

调用方法

URI

GET /v1/{project_id}/cfw/logs/attack

表1 路径参数
参数	是否必选	参数类型	描述
project_id	是	String	租户项目id

表2 Query参数
参数	是否必选	参数类型	描述
start_time	是	Long	开始时间，以毫秒为单位的时间戳，如1718936272648
end_time	是	Long	结束时间，以毫秒为单位的时间戳，如1718936272648
src_ip	否	String	源IP
src_port	否	Integer	源端口号
dst_ip	否	String	目的IP
dst_port	否	Integer	目的端口号
protocol	否	String	协议类型，包含TCP, UDP,ICMP,ICMPV6等。
app	否	String	应用协议
log_id	否	String	文档ID,第一页为空，其他页不为空，其他页可取上一次查询最后一条数据的log_id
next_date	否	Long	下个日期，当是第一页时为空，不是第一页时不为空，其他页可取上一次查询最后一条数据的event_time
offset	否	Integer	偏移量：指定返回记录的开始位置，必须为数字，取值范围为大于0，首页时为空，非首页时不为空
limit	是	Integer	每页显示个数，范围为1-1024
fw_instance_id	是	String	防火墙实例id，创建云防火墙后用于标志防火墙由系统自动生成的标志id，可通过调用查询防火墙实例接口。
action	否	String	动作包含permit，deny
direction	否	String	方向，包含in2out，out2in
attack_type	否	String	入侵事件类型
attack_rule	否	String	入侵事件规则
level	否	String	威胁等级，包括CRITICAL、HIGH、MEDIUM、LOW
enterprise_project_id	否	String	企业项目id，用户支持企业项目后，由企业项目生成的id。
dst_host	否	String	目标主机
log_type	否	String	日志类型包括：internet，vpc，nat
attack_rule_id	否	String	入侵事件id
src_region_name	否	String	源region名称
dst_region_name	否	String	目的region名称
src_province_name	否	String	源省份名称
dst_province_name	否	String	目的省份名称
src_city_name	否	String	源城市名称
dst_city_name	否	String	目的城市名称

请求参数

表3 请求Header参数
参数	是否必选	参数类型	描述
X-Auth-Token	是	String	用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）

响应参数

状态码： 200

表4 响应Body参数
参数	参数类型	描述
data	data object	查询攻击日志返回值

表5 data
参数	参数类型	描述
total	Integer	返回数量
limit	Integer	每页显示个数，范围为1-1024
records	Array of records objects	记录

表6 records
参数	参数类型	描述
direction	String	方向，有内到外和外到内两种
action	String	动作
event_time	Long	事件时间，以毫秒为单位的时间戳，如1718936272648
attack_type	String	攻击类型
attack_rule	String	攻击规则
level	String	威胁等级
source	String	来源
packet_length	Long	报文长度
attack_rule_id	String	攻击规则id
hit_time	Long	命中时间，以毫秒为单位的时间戳，如1718936272648
log_id	String	日志ID
src_ip	String	源IP
src_port	Integer	源端口
dst_ip	String	目的IP
dst_port	Integer	目的端口
protocol	String	协议
packet	String	攻击日志报文
app	String	应用协议
packetMessages	Array of PacketMessage objects	攻击报文信息
src_region_id	String	源区域id
src_region_name	String	源区域名称
dst_region_id	String	目的区域id
dst_region_name	String	目的区域名称
src_province_id	String	源省份id
src_province_name	String	源省份名称
src_city_id	String	源城市id
src_city_name	String	源城市名称
dst_province_id	String	目的省份id
dst_province_name	String	目的省份名称
dst_city_id	String	目的城市id
dst_city_name	String	目的城市名称

表7 PacketMessage
参数	参数类型	描述
hex_index	String	16进制index
hexs	Array of strings	16进制数列
utf8_String	String	utf_8字符串

状态码： 400

表8 响应Body参数
参数	参数类型	描述
data	data object	响应体
trace_id	String	trace id

表9 data
参数	参数类型	描述
id	String	标识ID

请求示例

查询项目id为9d80d070b6d44942af73c9c3d38e0429防火墙id为2af58b7c-893c-4453-a984-bdd9b1bd6318初始时间为1663567058000，结束时间为1664171765000的第一页数据，查询条数为10条

https://{Endpoint}/v1/9d80d070b6d44942af73c9c3d38e0429/cfw/logs/attack?fw_instance_id=2af58b7c-893c-4453-a984-bdd9b1bd6318&start_time=1663567058000&end_time=1664171765000&limit=10

响应示例

状态码： 200

{
  "data" : {
    "limit" : 10,
    "records" : [ {
      "action" : "deny",
      "app" : "HTTP",
      "attack_rule" : "Tool Nmap Web Server Probe Detected",
      "attack_rule_id" : "336154",
      "attack_type" : "Web Attack",
      "direction" : "out2in",
      "dst_ip" : "100.95.148.49",
      "dst_port" : 8080,
      "event_time" : 1664146216000,
      "level" : "MEDIUM",
      "log_id" : "15591",
      "packet" : "+hZUZMhV+hY/AaHMCABFKABpXPNAADAGof1kVe6QZF+UMcTQH5B0wdaz888+uoAYAOVyNQAAAQEICjrmikVb9JLCR0VUIC9uaWNlJTIwcG9ydHMlMkMvVHJpJTZFaXR5LnR4dCUyZWJhayBIVFRQLzEuMA0KDQo=",
      "packetMessages" : [ {
        "hex_index" : "00000000",
        "hexs" : [ "fa", "16", "54", "64", "c8", "55", "fa", "16", "3f", "01", "a1", "cc", "08", "00", "45", "28" ],
        "utf8_String" : ".\u0016Td.U.\u0016?.....E("
      }, {
        "hex_index" : "00000010",
        "hexs" : [ "00", "69", "5c", "f3", "40", "00", "30", "06", "a1", "fd", "64", "55", "ee", "90", "64", "5f" ],
        "utf8_String" : ".i\\.@.0...dU.d_"
      }, {
        "hex_index" : "00000020",
        "hexs" : [ "94", "31", "c4", "d0", "1f", "90", "74", "c1", "d6", "b3", "f3", "cf", "3e", "ba", "80", "18" ],
        "utf8_String" : ".1..\u001F.t.ֳ..>..."
      }, {
        "hex_index" : "00000030",
        "hexs" : [ "00", "e5", "72", "35", "00", "00", "01", "01", "08", "0a", "3a", "e6", "8a", "45", "5b", "f4" ],
        "utf8_String" : "..r5......:.E[."
      }, {
        "hex_index" : "00000040",
        "hexs" : [ "92", "c2", "47", "45", "54", "20", "2f", "6e", "69", "63", "65", "25", "32", "30", "70", "6f" ],
        "utf8_String" : "..GET /nice%20po"
      }, {
        "hex_index" : "00000050",
        "hexs" : [ "72", "74", "73", "25", "32", "43", "2f", "54", "72", "69", "25", "36", "45", "69", "74", "79" ],
        "utf8_String" : "rts%2C/Tri%6Eity"
      }, {
        "hex_index" : "00000060",
        "hexs" : [ "2e", "74", "78", "74", "25", "32", "65", "62", "61", "6b", "20", "48", "54", "54", "50", "2f" ],
        "utf8_String" : ".txt%2ebak HTTP/"
      }, {
        "hex_index" : "00000070",
        "hexs" : [ "31", "2e", "30", "0d", "0a", "0d", "0a" ],
        "utf8_String" : "1.0\r.\r."
      } ],
      "packet_length" : 119,
      "protocol" : "TCP",
      "source" : "0",
      "src_ip" : "100.85.238.144",
      "src_port" : 50384,
      "src_province_id" : "source province id",
      "src_province_name" : "source province name",
      "src_city_id" : "source city id",
      "src_city_name" : "source city name",
      "dst_province_id" : "dst province id",
      "dst_province_name" : "dst province name",
      "dst_city_id" : "dst city id",
      "dst_city_name" : "dst city name"
    } ],
    "total" : 1
  }
}

状态码： 400

Bad Request

{
  "error_code" : "00500002",
  "error_msg" : "时间间距错误"
}

状态码

状态码	描述
200	OK
400	Bad Request
401	Unauthorized
403	Forbidden
404	Not Found
500	Internal Server Error

错误码

请参见错误码。

父主题：日志管理

上一篇：查询访问控制日志

下一篇：附录

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试