NDR将阻断的访问请求记录在阻断日志,您可以通过查看阻断日志,获取所有被阻断访问的源IP、传输协议等信息。
操作步骤
- 登录控制台。
- 选择“区域”,在页面左上角单击
,选择。
- 在左侧导航树中,选择,进入日志页面。
- 单击“阻断日志”页签,进入阻断日志列表。
图1 阻断日志
- 在搜索框中,可筛选需要查看的日志,仅支持精确搜索。
- 单击“导出”,可导出日志,最大支持10000条。
- 单击
,可选择日志显示内容,当前支持的日志信息如表1所示。
表1 阻断日志
|
类别 |
说明 |
|
接收时间 |
阻断日志发生的时间,支持重新排序。 |
|
源IP |
阻断日志源头IP信息。 |
|
目的IP |
阻断日志目的IP信息。 |
|
目的端口 |
阻断日志目的端口信息。 |
|
IP类型 |
支持IPv4和IPv6。 |
|
传输协议 |
阻断日志的传输层协议。 |
|
响应动作 |
NDR服务对该攻击事件的操作,阻断/放行,支持筛选。 |
|
规则ID |
触发阻断的阻断规则ID。 |
|
计数 |
三元组1秒内告警的次数。 |
|
阻断类型 |
- 自动:触发系统预置规则的阻断。
- 手动:触发用户所创建规则的阻断。
|
|
被攻击租户ID |
被攻击租户的ID。 |
|
被攻击租户名 |
被攻击租户的名称。 |
|
VPC名称/ID |
该日志所属的VPC名称和ID。 |
|
实例类型 |
主机的实例类型。 |
