日志查询
云防火墙支持查询7天内的日志记录,为您提供三类日志:
- 攻击事件日志:IPS等攻击防御功能检测到的事件记录,出现误拦截时您可以修改防护动作,操作步骤请参见修改入侵防御规则的防护动作,修改病毒防御的防护动作请参见修改病毒防御动作提升防护效果。
- 访问控制日志:命中访问控制策略的所有流量,修改防护规则请参见管理防护规则,修改黑白名单请参见编辑黑/白名单。
- 流量日志:查看通过防火墙的所有流量记录。
将单类或者多类日志记录至LTS中,您可以查看1-365天的日志数据,请参见日志管理。
前提条件
约束条件
- 日志存储时长最多支持7天。
- 单类日志最多支持导出100000条记录。
- 基础版不支持查看查看日志。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航树中,选择“攻击事件日志”页面,可查看近一周的攻击事件详情。
。进入图1 攻击事件日志
表1 攻击事件日志参数说明 参数
说明
发生时间
攻击事件发生的时间。
攻击类型
攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。
危险等级
危险等级包括:严重、高、中、低。
规则ID
对应规则的ID号。
规则名称
规则库中相对应的命中规则名称。
源IP
攻击事件的来源IP。
标签
IP类型标识。
- 其它标签:非WAF回源IP,无需特别处理。
- WAF回源IP:“源IP”是WAF回源IP,如果本条记录的“响应动作”是阻断、阻断IP、丢弃,需手动设置放行。
操作方式:根据“规则ID”在IPS规则库中,在该规则的“操作”列,选择“观察”。
源国家/地区
攻击事件源IP所属的地理位置。
源端口
攻击事件的源端口。
目的IP
攻击事件中受到攻击的IP地址。
目的国家/地区
攻击事件目的IP所属的地理位置。
目的端口
攻击事件的目的端口。
协议
攻击事件的协议类型。
应用
攻击事件的应用类型。
方向
包括两个方向:出方向、入方向。
响应动作
防火墙的动作。
- 放行
- 阻断
- 阻断IP
- 丢弃
操作
操作:查看攻击事件的“基本信息”和“攻击payload”。
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航树中,选择“访问控制日志”页签,可查看近一周的访问控制流量详情。如果需要修改指定IP访问控制的响应动作,请参照通过添加防护规则拦截/放行流量或通过添加黑白名单拦截/放行流量。
。选择图2 访问控制日志
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航栏中,单击左上方的,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航树中,选择“流量日志”页签,可查看近一周的流量字节数和报文数。
,选择图3 流量日志
表3 流量日志参数说明 参数
说明
开始时间
流量防护发生的时间。
结束时间
流量防护结束的时间。
源IP
该条流量的源IP地址。
源国家/地区
访问源IP所属的地理位置。
源端口
该条流量的源端口。
目的IP
访问的目的IP。
目的国家/地区
访问目的IP所属的地理位置。
目的端口
该条流量的目的端口。
协议
该条流量的协议类型。
流字节数
防护流量的字节总数。
流报文数
防护流量的报文总数。
相关操作
导出日志:单击右上角的,导出列表中的日志记录。
后续操作
- 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置。
- 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
- 如果是单个流量被拦截,可将被拦截的IP加入白名单。
- 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。
- 单个规则阻断:修改该规则的防护动作,请参见修改基础防御规则动作。
- 多个规则阻断:修改当前的防护模式,请参见调整IPS防护模式拦截网络攻击。