天翼云Web应用防火墙(独享版)查看防护日志
文档简介:
Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志,包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志,包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。
前提条件
防护网站已接入WAF。
约束条件
- 下载防护事件文件时,如果您本地安装的安全软件拦截了下载文件,请关闭该软件后重新下载防护事件文件。
- 在WAF控制台只能查看所有防护域名最近30天的防护事件数据。
- 如果您将防护网站的“工作模式”切换为“暂停防护”模式,WAF将对该防护网站所有的流量请求只转发不检测,同时,日志也不会记录。
操作步骤
1 登录管理控制台。
2 单击管理控制台右上角的
,选择区域或项目。
3 单击页面左上方的
,选择“安全>Web应用防火墙”。
4 在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
5 选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站,可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志,如图所示,参数说明如表。
查看防护事件
参数说明
| 参数 | 说明 | 示例 |
|---|---|---|
| 时间 | 本次攻击发生的时间。 | 2021/02/04 13:20:04 |
| 源IP | Web访问者的公网IP地址(攻击者IP地址)。 | - |
| 地理位置 | 攻击者来源IP所在地区。 | 上海 |
| 防护域名 | 被攻击的防护域名。 | www.example.com |
| URL | 攻击的防护域名的URL。 | /admin |
| 恶意负载 |
本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。 说明 对于CC攻击事件,恶意负载表示当时访问URL的次数。 对于黑名单防护事件,恶意负载为空。 |
id=1 and 1='1 |
| 事件类型 | 发生攻击的类型。 | SQL注入攻击 |
| 命中规则 |
本次攻击事件命中的内置Web基础防护规则ID。 当攻击为Web基础防护所防护的攻击事件时显示该字段。例如,SQL注入攻击、XSS攻击、文件包含等。 |
223633 |
| 防护动作 |
防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 说明 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”。 |
拦截 |
参数说明
| 参数名称 | 参数说明 |
|---|---|
| 事件类型 | 发生攻击的类型。 默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。 |
| 防护动作 | 防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 |
| 源IP | Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 |
| URL | 攻击的防护域名的URL。 |
| 事件ID | 标识该防护事件的ID。 |
如果需要查看目标域名攻击事件详情,可在事件列表中的“操作”列,单击“详情”。
