云WAF将攻击防护的事件详情记录在事件报表中,用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下:
- 支持查看近7天内的防护事件,查询时间支持选择昨天、今天、近3天、近7天或自定义时间(近7天内的时间范围)。
- 提供防护事件多级查询,筛选条件包括域名、事件类型、攻击IP、处置动作、攻击URL、规则ID、请求UUID。
- 支持将列表数据下载到本地。
前提条件
- 已开通Web应用防火墙(原生版)实例。
- 已完成网站域名接入并正常防护。
操作步骤
- 登录天翼云控制中心。
- 单击管理控制台右上方的 ,选择地域。
- 在控制台列表页,选择“安全>Web应用防火墙(原生版)”。
- 在左侧导航栏中,选择“防护事件”,进入防护事件页面。
- 在防护事件列表上方,可以对事件进行筛选条件设置,支持设置多项匹配条件。
条件字段参数说明:
参数名称 参数说明 域名 选择想要查看的域名,支持全部域名或某个域名
时间范围
可查看“昨天”、“今天”、“近3天”、“近7天”或者近7天内自定义时间范围内的防护日志
事件类型
发生的攻击类型。默认为全部攻击类型,也可以根据需要,选择攻击类型查看攻击日志信息
攻击IP
Web访问者的公网IP地址,默认为全部,也可以根据需要输入攻击者IP地址查看攻击日志信息
处置动作
防护配置中设置的防护动作,包含:观察、拦截、放行、验证码、js挑战、重定向、重置链接
攻击URL
攻击的防护域名的URL
规则ID
攻击触发的防护规则ID
请求UUID
请求对应的唯一标识
- 筛选条件设置完成后,点击“搜索”,筛选后的结果将在列表中展示;可以点击“查看详情”,查看完整日志。
注意单次查询控制台最多支持返回1000条事件数据。当筛选条件范围过大时,可能存在返回数据不全问题,建议查询时缩小时间范围。
攻击日志字段说明:
参数名称 参数说明 http_host 请求头中的host字段值,即域名;
action
规则动作,包括观察、拦截、验证码、JS挑战、重定向等
attack_type
发生的攻击类型,包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等等
request_uri
攻击的防护域名的URL
remote_addr
客户端IP地址,即攻击IP
attack_area
客户端攻击IP所属地区
time_local
服务器时间,即攻击时间
rule_id
攻击触发的防护规则ID
unique_id
请求对应的唯一标识