文档简介:
云WAF将将攻击防护的事件详情记录在事件报表中,用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下:
-
支持查看近7天内的防护事件,查询时间支持选择昨天、今天、近3天、近7天或自定义时间(近7天内的时间范围);
-
提供防护事件多级查询,筛选条件包括域名、事件类型、攻击IP、处置动作、攻击URL、规则ID、请求UUID;
-
支持将列表数据下载到本地。
前提条件
-
已开通Web应用防火墙(原生版)实例;
-
已完成网站域名接入并正常防护。
操作步骤
1. 登录天翼云控制中心;
2. 单机管理控制台右上方的 
,选择地域;
3. 在控制台列表页,选择“安全>Web应用防火墙(原生版)”;
4. 在左侧导航栏中,选择“防护事件”,进入防护事件页面;
5. 在防护事件列表上方,可以对事件进行筛选条件设置,支持设置多项匹配条件;
条件字段参数说明:
|
参数名称 |
参数说明 |
|
域名 |
选择想要查看的域名,支持全部域名或某个域名 |
|
时间范围 |
可查看“昨天”、“今天”、“近3天”、“近7天”或者近7天内自定义时间范围内的防护日志 |
|
事件类型 |
发生的攻击类型。默认为全部攻击类型,也可以根据需要,选择攻击类型查看攻击日志信息 |
|
攻击IP |
Web访问者的公网IP地址,默认为全部,也可以根据需要输入攻击者IP地址查看攻击日志信息 |
|
处置动作 |
防护配置中设置的防护动作,包含:观察、拦截、放行、验证码、js挑战、重定向、重置链接 |
|
攻击URL |
攻击的防护域名的URL |
|
规则ID |
攻击触发的防护规则ID |
|
请求UUID |
请求对应的唯一标识 |
6. 筛选条件设置完成后,点击“搜索”,筛选后的结果将在列表中展示;可以点击“查看详情”,查看完整日志。
注意:单次查询控制台最多支持返回1000条事件数据。当筛选条件范围过大时,可能存在返回数据不全问题,建议查询时缩小时间范围。
攻击日志字段说明:
|
参数名称 |
参数说明 |
|
http_host |
请求头中的host字段值,即域名; |
|
action |
规则动作,包括观察、拦截、验证码、JS挑战、重定向等 |
|
attack_type |
发生的攻击类型,包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等等 |
|
request_uri |
攻击的防护域名的URL |
|
remote_addr |
客户端IP地址,即攻击IP |
|
attack_area |
客户端攻击IP所属地区 |
|
time_local |
服务器时间,即攻击时间 |
|
rule_id |
攻击触发的防护规则ID |
|
unique_id |
请求对应的唯一标识 |
