天翼云云防火墙使用教程 - 日志审计/查询
文档简介:
日志查询为您提供7天的日志记录。您可通过攻击事件日志查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
日志查询为您提供7天的日志记录。您可通过攻击事件日志查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息;通过访问控制日志查看根据访问控制策略放行或阻断的所有流量,以便更好的调整访问控制策略;通过流量日志查看通过的所有流量记录。
日志支持筛选、刷新、导出、显示/隐藏列的方式,助您使用。
前提条件
2.2.1 开启弹性公网IP防护。
2.6 配置入侵防御策略。
攻击事件日志
步骤 1 登录管理控制台。
步骤 2 在左侧导航树中,单击左上方的
,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
步骤 3 在左侧导航树中,选择“日志审计”。
进入“攻击事件日志”页面,可查看近一周的攻击事件详情。
“攻击事件日志”的参数说明
| 参数 | 说明 |
|---|---|
| 发生时间 | 攻击事件发生的时间。 |
| 攻击事件类型 | 攻击事件所属类型,主要包括:TCP、UDP、IMAP、DNS、FTP、HTTP、POP3、等。 |
| 危险等级 | 危险等级包括:高、中、低。 |
| 规则ID | 对应规则的ID号。 |
| 判断来源 | 目前有3种来源,分别是威胁情报、规则基线、AI引擎。 |
| 命中规则名称 | 规则库中相对应的命中规则名称。 |
| 源IP | 单个IP地址、连续多个IP地址、地址段。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 目的IP | 单个IP地址、连续多个IP地址、地址段。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 协议/应用 | 攻击事件的协议类型,或是什么应用。 |
| 方向 | 包括两个方向:出方向、入方向。 |
| 响应动作 | 包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。 |
访问控制日志
步骤 1 登录管理控制台。
步骤 2 在左侧导航树中,单击左上方的
,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
步骤 3 在左侧导航树中,选择“日志审计”。
选择“访问控制日志”页签,可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作,请参照2.3.1
添加防护规则或2.3.7.1
添加黑/白名单。
“访问控制日志”的参数说明
| 参数 | 说明 |
|---|---|
| 接收时间 | 访问发生的时间。 |
| 访问源 | 访问的源IP地址。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 访问目的 | 访问目的IP。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 协议 | 攻击事件的协议类型。 |
| 响应动作 | 包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。 |
| 规则 | 访问控制的规则类型,包括黑名单、白名单。 |
| 状态 | 访问控制的状态。 |
流量日志
步骤 1 登录管理控制台。
步骤 2 在左侧导航树中,单击左上方的
,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
步骤 3 在左侧导航树中,选择“日志审计”。
选择“流量日志”页签,可查看近一周的流量字节数和报文数。
“流量日志”的参数说明
| 参数 | 说明 |
|---|---|
| 开始时间 | 流量防护发生的时间。 |
| 结束时间 | 流量防护结束的时间。 |
| 访问源 | 单个IP地址、连续多个IP地址、地址段。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 访问目的 | 访问目的。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 协议 | 攻击事件的协议类型。 |
| 流字节数 | 防护流量的字节总数。 |
| 流报文数 | 防护流量的报文总数。 |
