日志查询

云防火墙支持查询7天内的日志记录，为您提供以下三类日志：

将单类或者多类日志记录至LTS中，您可以查看1-365天的日志数据，请参见日志管理。

参考以下操作查看日志。

在左侧导航树中，选择“日志审计 > 日志查询”，默认进入“攻击事件日志”页面，可查看近一周的攻击事件详细信息。

（可选）快速筛选日志数据：日志查询支持多种搜索类型，例如等于、不等于、开头为等。

图1 攻击事件日志

表1 攻击事件日志参数说明
参数	说明
发生时间	攻击事件发生的时间。
攻击类型	攻击事件所属类型，主要包括：IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。
风险等级	风险等级包括：致命、高危、中危、低危。
规则名称/规则ID	规则库中相对应的命中规则名称和ID号。
源IP	攻击事件的来源IP。源IP为WAF回源IP时，“源IP”会展示WAF回源IP和RealIP，其中RealIP展示X-Forwarded-For对应的第一个IP，即客户端的真实IP。
源国家/地区	攻击事件源IP所属的地理位置。
源端口	攻击事件的源端口。
目的IP	攻击事件中受到攻击的IP地址。
目的国家/地区	攻击事件目的IP所属的地理位置。
目的端口	攻击事件的目的端口。
协议	攻击事件的协议类型。
应用	攻击事件的应用类型。
方向	包括两个方向：出方向、入方向。
响应动作	防火墙的动作，包括放行、阻断、阻断IP、丢弃。
操作	查看：查看攻击事件的“基本信息”和“攻击payload”。

在左侧导航树中，选择“日志审计 > 日志查询”，进入日志查询页面后，选择“访问控制日志”页签，可查看近一周的访问控制流量详细信息。

（可选）快速筛选日志数据：日志查询支持包含（默认）和不包含（勾选“排除”）两种搜索类型。

图2 访问控制日志

表2 访问控制日志参数说明
参数	说明
命中时间	访问发生的时间。
源IP	访问的源IP地址。
源国家/地区	访问源IP所属的地理位置。
源端口	访问控制的源端口。包括单个端口，或者连续端口组，中间使用“-”隔开，如：80-443
目的IP	访问的目的IP。
目的网址	访问的域名地址。
目的国家/地区	访问目的IP所属的地理位置。
目的端口	访问控制的目的端口。包括单个端口，或者连续端口组，中间使用“-”隔开，如：80-443
协议	访问控制的协议类型。
应用	访问流量的应用类型。
响应动作	包括观察者模式（“观察”）和拦截模式（“阻断”或“放行”）。
规则	访问控制的规则类型，包括黑名单、白名单。

在左侧导航树中，选择“日志审计 > 日志查询”，选择“流量日志”页签，可查看近一周的流量字节数和报文数。

（可选）快速筛选日志数据：日志查询支持包含（默认）和不包含（勾选“排除”）两种搜索类型。

图3 流量日志

访问控制日志出现异常拦截：可能是防护规则/黑名单/白名单配置有误，需检查策略配置，修改防护规则请参见管理防护规则，修改黑白名单请参见编辑黑/白名单。
攻击事件日志出现异常拦截：可能是IPS当前的防护模式拦截了您的业务。
- 如果是单个流量被拦截，可将被拦截的IP加入白名单。
- 如果是多个流量被拦截，在日志中查看是被单个规则还是多个规则阻断。
  - 单个规则阻断：修改该规则的防护动作，请参见修改基础防御规则动作。
  - 多个规则阻断：修改当前的防护模式，请参见调整IPS防护模式拦截网络攻击。

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨