日志查询为您提供7天的日志记录。
攻击事件日志:查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息。
访问控制日志:查看根据访问控制策略放行或阻断的所有流量,以便更好的调整访问控制策略。
流量日志:查看通过的所有流量记录。
日志支持筛选、刷新、导出、显示/隐藏列的方式,助您使用。
前提条件
攻击事件日志
登录天翼云控制中心。
在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
在左侧导航树中,选择“日志审计”,进入“攻击事件日志”页面。
查看近一周的攻击事件详情。
参数 说明 发生时间 攻击事件发生的时间。 攻击类型 攻击事件所属类型,主要包括:IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。 危险等级 危险等级包括:严重、高、中、低。 规则ID 对应规则的ID号。 规则名称 规则库中相对应的命中规则名称。 源IP 攻击事件的来源IP。
源IP为WAF回源IP时,“源IP”会展示WAF回源IP和RealIP,其中RealIP展示X-Forwarded-For对应的第一个IP,即客户端的真实IP。
标签 IP类型标识。
- 其它标签:非WAF回源IP,无需特别处理。
- WAF回源IP:“源IP”是WAF回源IP,如果本条记录的“响应动作”是阻断、阻断IP、丢弃,需手动设置放行。
操作方式:根据“规则ID”在IPS规则库中,在该规则的“操作”列,选择“观察”。
源国家/地区 攻击事件源IP所属的地理位置。 源端口 攻击事件的源端口。 目的IP 攻击事件中受到攻击的IP地址。 目的国家/地区 攻击事件目的IP所属的地理位置。 目的端口 攻击事件的目的端口。 协议 攻击事件的协议类型。 应用 攻击事件的应用类型。 方向 包括两个方向:出方向、入方向。 响应动作 防火墙的动作。
- 放行
- 阻断
- 阻断IP
- 丢弃
操作 操作:查看攻击事件的“基本信息”和“攻击payload”。
访问控制日志
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”。
4.选择“访问控制日志”页签,可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作,请参照添加防护规则或添加黑/白名单。
“访问控制日志”的参数说明:
| 参数 | 说明 |
|---|---|
| 命中时间 | 访问发生的时间。 |
| 源IP | 访问的源IP地址。 |
| 源国家/地区 | 访问源IP所属的地理位置。 |
| 源端口 | 访问控制的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 目的IP | 访问的目的IP。 |
| 目的网址 | 访问的域名地址。 |
| 目的国家/地区 | 访问目的IP所属的地理位置。 |
| 目的端口 | 访问控制的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 协议 | 访问控制的协议类型。 |
| 响应动作 | 包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。 |
| 规则 | 访问控制的规则类型,包括黑名单、白名单。 |
流量日志
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”。
4.选择“流量日志”页签,可查看近一周的流量字节数和报文数。
“流量日志”的参数说明:
| 参数 | 说明 |
|---|---|
| 开始时间 | 流量防护发生的时间。 |
| 结束时间 | 流量防护结束的时间。 |
| 源IP | 该条流量的源IP地址。 |
| 源国家/地区 | 访问源IP所属的地理位置。 |
| 源端口 | 该条流量的源端口。 |
| 目的IP | 访问的目的IP。 |
| 目的国家/地区 | 访问目的IP所属的地理位置。 |
| 目的端口 | 该条流量的目的端口。 |
| 协议 | 该条流量的协议类型。 |
| 流字节数 | 防护流量的字节总数。 |
| 流报文数 | 防护流量的报文总数。 |
相关操作
导出日志:单击右上角的,导出列表中的日志记录。
后续操作
访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置。
攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。
如果是单个流量被拦截,可将被拦截的IP加入白名单。
如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。
单个规则阻断:修改该规则的防护动作,请参见“修改基础防御规则动作”。
多个规则阻断:修改当前的防护模式,请参见“调整IPS防护模式拦截网络攻击”。
