更新时间:2024-04-08 GMT+08:00
日志查询
云防火墙支持查询7天内的日志记录,为您提供三种日志:
- 攻击事件日志:IPS检测到的流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息,出现误拦截时您可以修改IPS防护动作,操作步骤请参见修改基础防御规则动作。
- 访问控制日志:命中访问控制策略的所有流量,修改防护规则请参见编辑防护规则。
- 流量日志:查看通过防火墙的所有流量记录。
前提条件
约束条件
- 日志存储时长最多支持7天。
- 单个日志最多支持导出100000条记录。
- 基础版不支持查询攻击事件日志。
攻击事件日志
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在左侧导航树中,单击左上方的
,选择,进入云防火墙的概览页面。 - (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
- 在左侧导航树中,选择。进入“攻击事件日志”页面,可查看近一周的攻击事件详情。
图1 攻击事件日志
表1 攻击事件日志参数说明 参数
说明
发生时间
攻击事件发生的时间。
攻击类型
攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。
危险等级
危险等级包括:严重、高、中、低。
规则ID
对应规则的ID号。
规则名称
规则库中相对应的命中规则名称。
源IP
攻击事件的来源IP。
源国家/地区
攻击事件源IP所属的地理位置。
源端口
攻击事件的源端口。
目的IP
攻击事件中受到攻击的IP地址。
目的国家/地区
攻击事件目的IP所属的地理位置。
目的端口
攻击事件的目的端口。
协议
攻击事件的协议类型。
应用
攻击事件的应用类型。
方向
包括两个方向:出方向、入方向。
响应动作
包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。
操作
操作:查看攻击事件的“基本信息”和“攻击payload”。
流量日志
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域。
- 在左侧导航树中,单击左上方的,选择,进入云防火墙的概览页面。
- (可选)当前账号下仅存在单个防火墙实例时,自动进入防火墙详情页面,存在多个防火墙实例时,单击防火墙列表“操作”列的“查看”,进入防火墙详情页面。
- 在左侧导航树中,选择 ,选择“流量日志”页签,可查看近一周的流量字节数和报文数。
图3 流量日志
表3 流量日志参数说明 参数
说明
开始时间
流量防护发生的时间。
结束时间
流量防护结束的时间。
源IP
该条流量的源IP地址。
源国家/地区
访问源IP所属的地理位置。
源端口
该条流量的源端口。
目的IP
访问的目的IP。
目的网址
访问的目的域名。
目的国家/地区
访问目的IP所属的地理位置。
目的端口
该条流量的目的端口。
协议
该条流量的协议类型。
流字节数
防护流量的字节总数。
流报文数
防护流量的报文总数。
父主题: 日志审计
