文档首页/ Web应用防火墙 WAF/ 用户指南/ 查看防护事件/ 查询防护事件
更新时间:2025-09-04 GMT+08:00
查看PDF
分享

查询防护事件

Web应用防火墙会对在所选时间段的攻击事件、受攻击对象、攻击源IP、受攻击URL的TOP 10网站进行统计,并将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看最近30天的WAF防护日志,包括事件发生的时间、客户端IP、客户端IP所在地理位置、恶意负载、命中规则等信息。

由于访问日志数量庞大,为避免影响WAF引擎性能,WAF默认不记录访问日志。如果您有安全要求,可配置隐私屏蔽规则,设置“屏蔽字段”“Params”“屏蔽字段名”“token”“password”等,屏蔽token和password等信息。

如果您希望存储更长时间的详细防护日志,可开启WAF全量日志,将攻击日志、访问日志记录到云日志服务(Log Tank Service,简称LTS),或通过云日志服务LTS,将日志转储至对象存储服务OBS或者数据接入服务DIS中长期保存。
  • 云日志服务LTS的日志存储时间默认为30天,支持自定义为1~365天,超出存储时间的日志数据将会被自动删除。更多信息请参见云日志服务LTS
  • 开启云日志服务记录WAF日志后,LTS会按流量单独计费。有关LTS的计费详情,请参见LTS价格详情

前提条件

防护网站已接入WAF

约束条件

  • 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。您可以通过开启全量日志长期保存日志,并查看攻击日志和访问日志的详细信息。有关开启全量日志的详细操作,请参见通过LTS记录WAF全量日志
  • 如果您将防护网站的工作模式切换为“暂停防护”模式,WAF将对该防护网站所有的流量请求只转发不检测,同时日志也不会记录。
  • 攻击产生后,上报到防护事件的时延约为2~3分钟。

查看防护日志

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方,单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“防护事件”
  5. “查询”页签,查看统计图表和防护事件详情。

防护事件统计图表展示指定防护域名、实例、时间范围内容防护事件趋势图、TOP10统计信息。

图1 统计图表
  1. 设置查询条件。

    • 防护域名图1①):支持查看全部防护域名、指定一个或多个防护域名的安全统计信息。
    • 实例图1②):支持查看全部实例、指定实例的安全统计信息。
    • 查询时间图1③):支持查看昨天、今天、3天、7天、30天或自定义30天任意时间段的安全统计信息。

  2. 查看统计图表信息。

    功能模块

    说明

    相关操作

    防护事件趋势图(图1④)

    展示所选网站在选择的时间段内WAF的防护情况。

    --

    TOP10统计(图1⑤)

    展示所选时间段TOP10的攻击事件、受攻击对象、攻击源IP、受攻击URL。
    • 单击“TOP攻击事件(1~5)”“TOP受攻击对象(1~5)”“TOP攻击源IP(1~5)”“TOP受攻击URL(1~5)”后的,可查看“TOP攻击事件(6~10)”“TOP受攻击对象(6~10)”“TOP攻击源IP(6~10)”“TOP受攻击URL(6~10)”的攻击数据。
    • 单击“TOP攻击事件”“TOP受攻击对象”“TOP攻击源IP”“TOP受攻击URL”后的,可复制统计图表的数据。
    • 单击“TOP受攻击对象”“TOP攻击源IP”“TOP受攻击URL”区域对应的域名、客户端IP、URL后,可在防护事件列表自动添加对应筛选条件,快速定位事件详情。

控制台最多可以查看10,000条防护事件日志,如果想要查询更多日志,请调整时间间隔或者将日志转储到LTS进行查看。

图2 防护事件列表
  1. 根据筛选条件字段匹配值设置多项匹配条件(图2①)。完成后,匹配条件会展示在事件列表的上方,条件字段参数说明如表1所示。

    表1 支持筛选搜索的条件字段

    参数名称

    参数说明

    客户端IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    host

    被攻击的防护域名。

    规则ID

    内置Web基础防护规则ID。

    URL

    攻击的防护域名的URL。

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、不匹配等。

    • 人机验证:CC防护规则中,“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示,输入正确的验证码,请求将不受访问限制。
    • 不匹配:配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”

    状态码

    拦截页面返回的HTTP状态码。

    事件ID

    标识该防护事件的ID。

  2. 单击防护事件列表右上角的图2②),设置防护事件列表展示字段,字段参数说明表2所示。

    表2 防护事件列表可展示字段参数说明

    参数

    说明

    示例

    时间

    本次攻击发生的时间。

    2021/02/04 13:20:04

    客户端IP

    Web访问者的公网IP地址(攻击者IP地址)。

    单击“客户端IP”列的,可对事件列表进行升序或降序重新排序。

    -

    host

    被攻击的防护域名。

    www.example.com

    地理位置

    客户端IP所在地区。

    -

    规则ID

    内置Web基础防护规则ID。

    -

    URL

    攻击的防护域名的URL。

    /admin

    事件类型

    发生攻击的类型。

    SQL注入攻击

    应用组件

    被攻击的应用组件。

    pgAdmin4

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    说明:

    配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”

    拦截

    状态码

    拦截页面返回的HTTP状态码。

    418

    恶意负载

    本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。

    说明:
    • 对于CC攻击事件,恶意负载表示当时访问URL的次数。
    • 对于黑名单防护事件,恶意负载为空。

    id=1 and 1='1

    接入模式

    网站接入WAF的方式。

    云模式-CNAME接入

    ELB名称

    云模式-ELB接入模式下,防护域名关联的“ELB(负载均衡器)”名称。

    elb-18ce

    企业项目

    网站所在的企业项目。

    单击“企业项目”列的,可对事件列表进行升序或降序重新排序。

    default

    完成以上配置后,您可以在防护事件列表,查看符合条件的防护事件,如图2所示。

  3. 单击目标事件“操作”列的“详情”图2③),查看目标域名攻击事件详情,包括事件概览、恶意负载、请求详情、响应详情。

    您需要提交工单,开通响应详情功能并配置日志记录响应体字节长度后,WAF才会展示响应详情,并记录不超过字节长度的响应体信息。

相关操作

  • 处理防护规则触发的误报事件:如果确认防护事件被WAF内置规则自定义防护规则误处置,您可以参考该操作,进行误报处理。
    • WAF内置规则包括:Web基础防护规则、网站反爬虫的特征反爬虫规则、BOT管理的已知BOT检测/请求特征检测/行为BOT检测/主动特征检测规则
    • WAF自定义规则包括:CC攻击防护规则精准访问防护规则黑白名单规则地理位置访问控制规则等由用户创建的防护规则。
  • 处理误报的客户端IP:如果确认某客户端IP被误处置,您可以参考该步骤,将客户端IP添加至地址组添加至黑白名单,加白该客户端IP。
  • 导出防护事件

    在事件列表的左上角,单击“导出”,可导出防护事件列表数据,防护事件数据小于200条将直接导出到本地。

常见问题

父主题: 查看防护事件

相关文档