更新时间:2024-11-19 GMT+08:00
分享

查询防护事件

Web应用防火墙会对在所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计,并将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志,包括事件发生的时间、源IP、源IP所在地理位置、恶意负载、命中规则等信息。

如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目的防护日志。

约束条件

  • 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。您可以通过开启全量日志长期保存日志,并查看攻击日志和访问日志的详细信息。有关开启全量日志的详细操作,请参见通过LTS记录WAF全量日志
  • 如果您将防护网站的工作模式切换为“暂停防护”模式,WAF将对该防护网站所有的流量请求只转发不检测,同时日志也不会记录。

查看防护日志

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域或项目。
  3. 单击页面左上方的,选择安全与合规 > Web应用防火墙 WAF
  4. 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
  5. 选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站,可查看“昨天”“今天”“3天”“7天”“30天”或者自定义时间范围内的防护日志。

    • “防护事件趋势图”:展示所选网站在选择的时间段内WAF的防护情况。
    • “TOP10统计”:针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计,单击可复制统计图表的数据。
    图1 防护事件

  6. “防护事件列表”中,查看防护详情。

    • 根据筛选条件字段匹配值进行筛选,可设置多项匹配条件,单击“确定”后,匹配条件会展示在事件列表的上方,条件字段参数说明如表2所示。
    • 在事件列表的左上角,单击“导出”,可导出防护事件列表数据,防护事件数据小于200条将直接导出到本地。
    • 单击,可选择防护事件列表展示的字段。
    • 在目标事件的“操作”列单击“详情”,可查看目标域名攻击事件详情。
    图2 防护事件列表
    表1 支持筛选搜索的条件字段

    参数名称

    参数说明

    事件ID

    标识该防护事件的ID。

    事件类型

    发生攻击的类型。

    默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。

    规则ID

    内置Web基础防护规则ID。

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证、不匹配等。

    • 人机验证:CC防护规则中,“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示,输入正确的验证码,请求将不受访问限制。
    • 不匹配:配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。

    URL

    攻击的防护域名的URL。

    状态码

    拦截页面返回的HTTP状态码。

    防护域名

    被攻击的防护域名。

    表2 防护事件列表可展示字段参数说明

    参数

    说明

    示例

    时间

    本次攻击发生的时间。

    2021/02/04 13:20:04

    源IP

    Web访问者的公网IP地址(攻击者IP地址)。

    -

    防护域名

    被攻击的防护域名。

    www.example.com

    地理位置

    攻击者来源IP所在地区。

    -

    规则ID

    内置Web基础防护规则ID。

    -

    URL

    攻击的防护域名的URL。

    /admin

    事件类型

    发生攻击的类型。

    SQL注入攻击

    防护动作

    防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。

    说明:

    配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”

    拦截

    状态码

    拦截页面返回的HTTP状态码。

    418

    恶意负载

    本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。

    说明:
    • 对于CC攻击事件,恶意负载表示当时访问URL的次数。
    • 对于黑名单防护事件,恶意负载为空。

    id=1 and 1='1

    企业项目

    网站所在的企业项目。

    default

相关文档