更新时间:2024-12-18 GMT+08:00

日志查询

云防火墙支持查询7天内的日志记录,为您提供三类日志:

将单类或者多类日志记录至LTS中,您可以查看1-365天的日志数据,请参见日志管理

约束条件

  • 日志存储时长最多支持7天。
  • 单类日志最多支持导出100000条记录。
  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询。进入“攻击事件日志”页面,可查看近一周的攻击事件详情。

    图1 攻击事件日志
    表1 攻击事件日志参数说明

    参数

    说明

    发生时间

    攻击事件发生的时间。

    攻击类型

    攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。

    危险等级

    危险等级包括:严重、高、中、低。

    规则ID

    对应规则的ID号。

    规则名称

    规则库中相对应的命中规则名称。

    源IP

    攻击事件的来源IP。

    标签

    IP类型标识。

    • 其它标签:非WAF回源IP,无需特别处理。
    • WAF回源IP:“源IP”是WAF回源IP,如果本条记录的“响应动作”是阻断、阻断IP、丢弃,需手动设置放行。

      操作方式:根据“规则ID”在IPS规则库中,在该规则的“操作”列,选择“观察”

    源国家/地区

    攻击事件源IP所属的地理位置。

    源端口

    攻击事件的源端口。

    目的IP

    攻击事件中受到攻击的IP地址。

    目的国家/地区

    攻击事件目的IP所属的地理位置。

    目的端口

    攻击事件的目的端口。

    协议

    攻击事件的协议类型。

    应用

    攻击事件的应用类型。

    方向

    包括两个方向:出方向、入方向。

    响应动作

    防火墙的动作。

    • 放行
    • 阻断
    • 阻断IP
    • 丢弃

    操作

    操作:查看攻击事件的“基本信息”“攻击payload”

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询。选择“访问控制日志”页签,可查看近一周的访问控制流量详情。如果需要修改指定IP访问控制的响应动作,请参照通过添加防护规则拦截/放行流量通过添加黑白名单拦截/放行流量

    图2 访问控制日志
    表2 访问控制日志参数说明

    参数

    说明

    命中时间

    访问发生的时间。

    源IP

    访问的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    目的IP

    访问的目的IP。

    目的网址

    访问的域名地址。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    协议

    访问控制的协议类型。

    响应动作

    包括观察者模式(“观察”)和拦截模式(“阻断”“放行”)。

    规则

    访问控制的规则类型,包括黑名单、白名单。

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在左侧导航栏中,单击左上方的,选择安全与合规 > 云防火墙,进入云防火墙的总览页面。
  4. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  5. 在左侧导航树中,选择日志审计 > 日志查询 ,选择“流量日志”页签,可查看近一周的流量字节数和报文数。

    图3 流量日志
    表3 流量日志参数说明

    参数

    说明

    开始时间

    流量防护发生的时间。

    结束时间

    流量防护结束的时间。

    源IP

    该条流量的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    该条流量的源端口。

    目的IP

    访问的目的IP。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    该条流量的目的端口。

    协议

    该条流量的协议类型。

    流字节数

    防护流量的字节总数。

    流报文数

    防护流量的报文总数。

相关操作

导出日志:单击右上角的,导出列表中的日志记录。

后续操作

  • 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置。
  • 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
    • 如果是单个流量被拦截,可将被拦截的IP加入白名单。
    • 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。