文档首页/ 云防火墙 CFW/ 用户指南/ 日志审计/ 日志查询
更新时间:2025-08-05 GMT+08:00
查看PDF
分享

日志查询

云防火墙支持查询7天内的日志记录,为您提供三类日志:

  • 攻击事件日志:IPS等攻击防御功能检测到的事件记录。
  • 访问控制日志:命中访问控制策略的所有流量。
  • 流量日志:查看通过防火墙的所有流量记录。

将单类或者多类日志记录至LTS中,您可以查看1-365天的日志数据,请参见日志管理

约束条件

  • 日志存储时长最多支持7天。
  • 单类日志最多支持查看10,000条数据,导出100,000条记录。
  • 流量日志基于会话统计,在连接期间,数据不会上报,须连接结束后才会上报。
  • 日志查询页面中不支持展示IPv6类型地址的地理位置信息(源国家/地区)。

查看日志

参考以下操作查看日志。

攻击事件日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询。进入“攻击事件日志”页面,可查看近一周的攻击事件详情。

    (可选)快速筛选日志数据:日志查询支持包含(默认)和不包含(勾选“排除”)两种搜索类型。

    图1 攻击事件日志
    表1 攻击事件日志参数说明

    参数

    说明

    发生时间

    攻击事件发生的时间。

    攻击类型

    攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。

    危险等级

    危险等级包括:严重、高、中、低。

    规则ID

    对应规则的ID号。

    规则名称

    规则库中相对应的命中规则名称。

    源IP

    攻击事件的来源IP。

    源IP为WAF回源IP时,“源IP”会展示WAF回源IP和RealIP,其中RealIP展示X-Forwarded-For对应的第一个IP,即客户端的真实IP。

    标签

    IP类型标识。

    • 其它标签:非WAF回源IP,无需特别处理。
    • WAF回源IP:“源IP”是WAF回源IP,如果本条记录的“响应动作”是阻断、阻断IP、丢弃,需手动设置放行。

      操作方式:根据“规则ID”在IPS规则库中,在该规则的“操作”列,选择“观察”

    源国家/地区

    攻击事件源IP所属的地理位置。

    源端口

    攻击事件的源端口。

    目的IP

    攻击事件中受到攻击的IP地址。

    目的国家/地区

    攻击事件目的IP所属的地理位置。

    目的端口

    攻击事件的目的端口。

    协议

    攻击事件的协议类型。

    应用

    攻击事件的应用类型。

    方向

    包括两个方向:出方向、入方向。

    响应动作

    防火墙的动作。

    • 放行
    • 阻断
    • 阻断IP
    • 丢弃

    操作

    查看:查看攻击事件的“基本信息”“攻击payload”

访问控制日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询。选择“访问控制日志”页签,可查看近一周的访问控制流量详情。如果需要修改指定IP访问控制的响应动作,请参照通过防护规则拦截/放行互联网边界流量通过黑白名单拦截/放行流量

    (可选)快速筛选日志数据:日志查询支持包含(默认)和不包含(勾选“排除”)两种搜索类型。

    图2 访问控制日志
    表2 访问控制日志参数说明

    参数

    说明

    命中时间

    访问发生的时间。

    源IP

    访问的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    目的IP

    访问的目的IP。

    目的网址

    访问的域名地址。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    协议

    访问控制的协议类型。

    响应动作

    包括观察者模式(“观察”)和拦截模式(“阻断”“放行”)。

    规则

    访问控制的规则类型,包括黑名单、白名单。

流量日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询,选择“流量日志”页签,可查看近一周的流量字节数和报文数。

    (可选)快速筛选日志数据:日志查询支持包含(默认)和不包含(勾选“排除”)两种搜索类型。

    图3 流量日志
    表3 流量日志参数说明

    参数

    说明

    开始时间

    流量防护发生的时间。

    结束时间

    流量防护结束的时间。

    源IP

    该条流量的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    该条流量的源端口。

    目的IP

    访问的目的IP。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    该条流量的目的端口。

    协议

    该条流量的协议类型。

    流字节数

    防护流量的字节总数。

    流报文数

    防护流量的报文总数。

相关文档

  • 导出日志:单击右上角的,导出列表中的日志记录。
  • 云防火墙提供网络抓包功能,支持根据IP地址、端口号或协议类型捕获流量,快速定位网络故障,识别安全风险,具体操作请参见网络抓包

后续操作

  • 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置,修改防护规则请参见管理防护规则,修改黑白名单请参见编辑黑/白名单
  • 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
    • 如果是单个流量被拦截,可将被拦截的IP加入白名单。
    • 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。
父主题: 日志审计