CFW接入
LTS支持云防火墙(CFW)日志接入,具体接入方法请参见日志配置。
CFW流量日志结构化模板日志详情
- CFW流量日志示例日志
表1 结构化模板示例 模板名称
示例日志
CFW流量日志
{"src_port":"60968","to_c_pkts":4,"to_s_bytes":352,"to_c_bytes":1082,"direction":"in2out","bytes":1434,"dst_ip":"100.85.222.231","to_s_pkts":5,"src_ip":"100.95.156.206","dst_host":"www.test1.com","end_time":1695818474000,"protocol":"TCP","dst_port":"80","app":"HTTP","start_time":1695818472000,"vsys":"1","log_type":"internet","packets":9,"dst_region_name":"Chinese Mainland","src_region_name":"Bulgaria","src_region_id":"BG","dst_region_id":"CN","src_vpc":"d644a32b-5c68-4925-bce6-58528da01df0","dst_vpc":"e9ec6dd9-241d-46d5-ae55-47f8c829674f"} - 结构化字段及字段说明
表2 结构化字段 字段
示例
描述
类型
src_port
60968
源IP地址。
string
to_c_pkts
4
服务端向客户端发送的报文数。
long
to_s_bytes
352
客户端向服务端发送的字节数。
long
to_c_bytes
1082
服务端向客户端发送的字节数。
long
direction
in2out
流量方向。
- out2in:入方向
- in2out:出方向
string
bytes
1434
防护流量的字节数。
long
dst_ip
100.85.222.231
目的IP地址。
string
to_s_pkts
5
客户端向服务端发送的报文数。
5ong
src_ip
100.95.156.206
源IP地址
string
dst_host
www.test1.com
目的域名。
string
end_time
1695818474000
流结束时间。
long
protocol
TCP
协议类型
string
dst_port
80
目的端口号
string
app
HTTP
应用类型
string
start_time
1695818472000
流开始时间。
long
vsys
1
防火墙防护方向
string
log_type
internet
日志类型。
- internet:互联网边界流量日志。
- nat:NAT边界流量日志。
- vpc:VPC间流量日志。
string
packets
9
防护流量的报文数。
long
dst_region_name
Chinese Mainland
目的地区名称。
string
src_region_name
Bulgaria
源地区名称。
string
src_region_id
BG
源地区ID。
string
dst_region_id
CN
目的地区ID。
string
src_vpc
d644a32b-5c68-4925-bce6-58528da01df0
源IP地址所在VPC的ID。
string
dst_vpc
e9ec6dd9-241d-46d5-ae55-47f8c829674f
目的IP地址所在VPC的ID。
string
CFW攻击日志结构化模板日志详情
- CFW攻击日志示例日志
表3 结构化模板示例 模板名称
示例日志
CFW攻击日志
{"attack_rule":"Apache Flink Directory Traversal Vulnerability (CVE-2020-17519)","vsys":"1","source":"predefined","dst_ip":"100.85.222.231","action":"deny","src_port":"51090","attack_rule_id":"331978","direction":"in2out","src_ip":"100.95.156.206","dst_port":"80","log_type":"internet","attack_type":"Vulnerability Exploit Attack","app":"HTTP","event_time":1696652275000,"level":"CRITICAL","packet":"R0VUIC9qb2JtYW5hZ2VyL2xvZ3MvLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmZXRjJTI1MmZwYXNzd2QgSFRUUC8xLjENClVzZXItQWdlbnQ6IGN1cmwvNy4yOS4wDQpIb3N0OiAxMDAuODUuMjIyLjIzMQ0KQWNjZXB0OiAqLyoNCg0K","protocol":"TCP","dst_region_name":"Chinese Mainland","src_region_name":"Chinese Mainland","dst_region_id":"CN","src_region_id":"CN"} - 结构化字段及字段说明
表4 结构化字段 字段
示例
描述
类型
attack_rule
Apache Flink Directory Traversal Vulnerability (CVE-2020-17519)
检测到攻击的防御规则。
string
vsys
1
防火墙防护方向。
string
source
predefined
检测到攻击的防御模式。
- 0:基础防御
- 1:虚拟补丁
string
dst_ip
100.85.222.231
目的IP地址。
string
action
deny
云防火墙当前的响应动作。
- permit:放行
- deny:阻断
string
src_port
51090
源端口号。
string
attack_rule_id
331978
检测到攻击的防御规则ID号。
string
direction
in2out
流量方向
- out2in:入方向
- in2out:出方向
string
src_ip
100.95.156.20
源IP地址
string
dst_port
80
目的端口号。
string
log_type
internet
日志类型。
string
attack_type
Vulnerability Exploit Attack
发生攻击的类型。
- Vulnerability Exploit Attack:漏洞攻击
- Vulnerability Scan:漏洞扫描
- Trojan:木马病毒
- Worm:蠕虫病毒
- Phishing:网络钓鱼攻击
- Web Attack:Web攻击
- Application DDoS:DDoS攻击
- Buffer Overflow:缓冲区溢出攻击
- Password Attack:密码攻击
- Mail:邮件相关类型的攻击行为
- Access Control:访问控制行为
- Hacking Tool:黑客工具
- Hijacking:劫持行为
- Protocol Exception:存在异常协议
- Spam:存在垃圾邮件
- Spyware:存在间谍软件
- DDoS Flood:DDoS泛洪攻击
- Suspicious DNS Activity:可疑DNS活动
- Other Suspicious Behavior:其他可疑行为
string
app
HTTP
应用类型。
string
event_time
1696652275000
检测到的攻击时间。
long
level
CRITICAL
表示检测到威胁的等级。
- CRITICAL:严重
- HIGH:高
- MIDDLE:中
- LOW:低
string
packet
R0VUIC9qb2JtYW5hZ2VyL2xvZ3MvLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmLi4lMjUyZi4uJTI1MmYuLiUyNTJmZXRjJTI1MmZwYXNzd2QgSFRUUC8xLjENClVzZXItQWdlbnQ6IGN1cmwvNy4yOS4wDQpIb3N0OiAxMDAuODUuMjIyLjIzMQ0KQWNjZXB0OiAqLyoNCg0K
防护流量的报文数。
string
protocol
TCP
协议类型。
string
dst_region_name
Chinese Mainland
目的地区名称。
string
src_region_name
Chinese Mainland
源地区名称。
string
dst_region_id
CN
目的地区ID。
string
src_region_id
CN
源地区ID。
string
CFW访问控制日志结构化模板日志详情
- CFW访问控制日志示例
表5 结构化模板示例 模板名称
示例日志
CFW访问控制日志
{"src_port":"47934","protocol":"TCP","dst_port":"80","app":"HTTP","action":"permit","direction":"in2out","rule_id":"d5ad0364-b615-4ca3-ac59-30298cc511d6","vsys":"1","dst_ip":"100.95.152.37","log_type":"internet","hit_time":1695854983000,"src_ip":"100.95.149.249","dst_region_name":"Chinese Mainland","src_region_name":"Chinese Mainland","dst_host":"repo.huaweicloud.com","dst_region_id":"CN","src_region_id":"CN"} - 结构化字段及字段说明
表6 结构化字段 字段
示例
描述
类型
src_port
47934
源端口号。
string
protocol
TCP
协议类型。
string
dst_port
80
目的端口号。
string
app
HTTP
应用类型。
string
action
permit
防火墙当前的响应动作。
- permit:放行
- deny:阻断
string
direction
out2in
流量方向。
- out2in:入方向
- in2out:出方向
string
rule_id
d5ad0364-b615-4ca3-ac59-30298cc511d6
触发规则的ID。
string
vsys
1
防火墙防护方向。
string
dst_ip
100.95.152.37
目的IP地址。
string
log_type
internet
日志类型。
- internet:互联网边界流量日志
- nat:NAT边界流量日志
- vpc:VPC间流量日志
string
hit_time
1695854983000
访问发生的时间。
long
src_ip
100.95.149.249
源IP地址。
string
dst_region_name
Chinese Mainland
目的地区名称。
string
src_region_name
Chinese Mainland
源地区名称。
string
dst_host
repo.huaweicloud.com
目的域名。
string
dst_region_id
CN
目的地区ID。
string
src_region_id
CN
源地区ID。
string
