文档首页/ 云防火墙 CFW/ 用户指南/ 日志审计/ 日志查询
更新时间:2026-06-17 GMT+08:00
查看PDF
分享

日志查询

操作场景

云防火墙支持对攻击事件、访问控制、全量流量进行日志记录与查询,帮助您快速定位安全威胁、核查策略命中情况、分析网络流量行为。

  • 攻击事件日志:记录IPS等攻击防御功能检测到的各类攻击事件,包含攻击事件的发生时间、攻击类型、风险等级、响应动作等关键参数,为安全事件溯源提供支撑。
  • 访问控制日志:记录所有命中访问控制策略的流量信息,包含命中时间、源目IP及端口、目的网址、规则类型等信息,用于验证策略的有效性、优化策略。
  • 流量日志:记录经过云防火墙的所有流量,包含开始与结束时间、源目IP及端口、流字节数、流报文数等详情,用于流量审计与异常排查。

默认情况下,您可以在云防火墙中查询最近7天的日志数据,满足即时安全监测和事件处理需求。如果需更长时间存储日志或导出大量日志数据等,可以将单类或者多类日志记录至LTS中。接入LTS后,日志存储时长延长至1-365天。具体操作请参见日志管理

约束与限制

  • 存储时长:日志存储时长最多支持7天。
  • 条数限制:单类日志最多支持查看10,000条数据,导出100,000条记录。
  • 上报规则:流量日志基于会话统计,在连接期间,数据不会上报,须连接结束后才会上报。
  • 版本规格差异:基础版仅支持查看访问控制日志和流量日志。
  • 展示IP地址类型限制:日志查询页面中不支持展示IPv6类型地址的地理位置信息(源国家/地区)。

查看日志

参考以下操作查看日志。

攻击事件日志

  1. 登录云防火墙控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航树中,选择日志审计 > 日志查询,默认进入“攻击事件日志”页面,可查看近一周的攻击事件详细信息。

    (可选)快速筛选日志数据:日志查询支持多种搜索类型,例如等于、不等于、开头为等。

    图1 攻击事件日志
    表1 攻击事件日志参数说明

    参数

    说明

    发生时间

    攻击事件发生的时间。

    攻击类型

    攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。

    风险等级

    风险等级包括:致命、高危、中危、低危。

    规则名称/规则ID

    规则库中相对应的命中规则名称和ID号。

    源IP

    攻击事件的来源IP。

    源IP为WAF回源IP时,“源IP”会展示WAF回源IP和RealIP,其中RealIP展示X-Forwarded-For对应的第一个IP,即客户端的真实IP。

    源国家/地区

    攻击事件源IP所属的地理位置。

    源端口

    攻击事件的源端口。

    目的IP

    攻击事件中受到攻击的IP地址。

    目的国家/地区

    攻击事件目的IP所属的地理位置。

    目的端口

    攻击事件的目的端口。

    协议

    攻击事件的协议类型。

    应用

    攻击事件的应用类型。

    方向

    包括两个方向:出方向、入方向。

    响应动作

    防火墙的动作,包括放行、阻断、阻断IP、丢弃。

    操作

    查看:查看攻击事件的“基本信息”“攻击payload”

访问控制日志

  1. 登录云防火墙控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航树中,选择日志审计 > 日志查询,进入日志查询页面后,选择“访问控制日志”页签,可查看近一周的访问控制流量详细信息。

    如果需要修改指定IP访问控制的响应动作,请参见通过防护规则拦截/放行互联网边界流量通过黑/白名单拦截/放行互联网边界流量

    (可选)快速筛选日志数据:日志查询支持多种搜索类型,例如等于、不等于、开头为等。

    图2 访问控制日志
    表2 访问控制日志参数说明

    参数

    说明

    命中时间

    访问发生的时间。

    源IP

    访问的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    目的IP

    访问的目的IP。

    目的网址

    访问的域名地址。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443

    协议

    访问控制的协议类型。

    应用

    访问流量的应用类型。

    响应动作

    包括观察者模式(“观察”)和拦截模式(“阻断”“放行”)。

    规则

    访问控制的规则类型,包括黑名单、白名单。

流量日志

  1. 登录云防火墙控制台
  2. 单击管理控制台左上角的,选择区域。
  3. (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
  4. 在左侧导航树中,选择日志审计 > 日志查询,选择“流量日志”页签,可查看近一周的流量字节数和报文数。

    (可选)快速筛选日志数据:日志查询支持多种搜索类型,例如等于、不等于、开头为等。

    图3 流量日志
    表3 流量日志参数说明

    参数

    说明

    开始时间

    流量防护发生的时间。

    结束时间

    流量防护结束的时间。

    源IP

    该条流量的源IP地址。

    源国家/地区

    访问源IP所属的地理位置。

    源端口

    该条流量的源端口。

    目的IP

    访问的目的IP。

    目的网址

    访问的域名地址。

    目的国家/地区

    访问目的IP所属的地理位置。

    目的端口

    该条流量的目的端口。

    协议

    该条流量的协议类型。

    应用

    该条流量的应用类型。

    流字节数

    防护流量的字节总数。

    流报文数

    防护流量的报文总数。

异常拦截排查

  • 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置,修改防护规则请参见管理防护规则,修改黑白名单请参见编辑黑/白名单
  • 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
    • 如果是单个流量被拦截,可将被拦截的IP加入白名单。
    • 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。

相关文档

  • 导出日志:单击日志列表左上方的“导出”,导出列表中的日志记录。
  • 云防火墙提供网络抓包功能,支持根据IP地址、端口号或协议类型捕获流量,快速定位网络故障,识别安全风险,具体操作请参见网络抓包
父主题: 日志审计

相关文档