更新时间:2026-05-09 GMT+08:00
防护日志概述
云防火墙可以自动记录所有流量数据,并提供攻击事件、访问控制和流量日志的可视化页面,有效简化了攻击溯源与流量审查流程。云防火墙默认支持查询最近7天的审计日志,确保近期安全事件可快速追溯,为即时威胁响应与流量核查提供可靠数据支撑。本章节介绍以下内容:
日志类型
云防火墙提供以下日志:
- 攻击事件日志:记录IPS等攻击防御功能检测到的各类攻击事件,包含攻击事件的发生时间、攻击类型、风险等级、响应动作等关键参数,为安全事件溯源提供支撑。
- 访问控制日志:记录所有命中访问控制策略的流量信息,包含命中时间、源目IP及端口、目的网址、规则类型等信息,用于验证策略的有效性、优化策略。
- 流量日志:记录经过云防火墙的所有流量,包含开始与结束时间、源目IP及端口、流字节数、流报文数等详情,用于流量审计与异常排查。
安全云脑(SecMaster)支持一键接入云防火墙日志数据。如果接入的是新购买的云防火墙的日志数据,由于日志上报存在一定的延迟,因此,如果您当天在安全云脑执行了接入云防火墙日志操作,则将会隔天才能在安全云脑中查看到上报的云防火墙日志数据。
异常拦截排查
- 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置,修改防护规则请参见管理防护规则,修改黑白名单请参见编辑黑/白名单。
- 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
- 如果是单个流量被拦截,可将被拦截的IP加入白名单。
- 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。
- 单个规则阻断:修改该规则的防护动作,请参见修改基础防御规则动作。
- 多个规则阻断:修改当前的防护模式,请参见调整IPS防护模式拦截网络攻击。
相关文档
- 访问控制策略的整体防护概况请参见通过策略助手查看防护信息。
- 流量趋势的整体防护概况请参见流量分析。
- 网络攻击防护的整体防护概况请参见通过安全看板查看攻击防御信息。
