华为云Web应用防火墙waf查看防护日志_云淘科技
Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面。您可以查看WAF的防护日志,包括事件发生的时间、源站IP、源站IP所在地理位置、恶意负载、命中规则等信息。
如果您已开通企业项目,您可以在“企业项目”下拉列表中选择您所在的企业项目,查看该企业项目的防护日志。
前提条件
防护网站已接入WAF。
约束条件
下载防护事件文件时,如果您本地安装的安全软件拦截了下载文件,请关闭该软件后重新下载防护事件文件。
在WAF控制台只能查看所有防护域名最近30天的防护事件数据。您可以通过开启全量日志长期保存日志,并查看攻击日志和访问日志的详细信息。有关开启全量日志的详细操作,请参见开启全量日志。
如果您将防护网站的“工作模式”切换为“暂停防护”模式,WAF将对该防护网站所有的流量请求只转发不检测,同时,日志也不会记录。
操作步骤
登录管理控制台。
单击管理控制台左上角的
,选择区域或项目。
单击页面左上方的
,选择“安全与合规 > Web应用防火墙 WAF”。
在左侧导航树中,选择“防护事件”,进入“防护事件”页面。
选择“查询”页签,在网站或实例下拉列表中选择待查看的防护网站,可查看“昨天”、“今天”、“3天”、“7天”、“30天”或者自定义时间范围内的防护日志。
“防护事件趋势图”:展示所选网站在选择的时间段内WAF的防护情况。
“TOP10统计”:针对当前所选时间段的攻击事件、受攻击站点、攻击源IP、受攻击URL的TOP 10网站进行统计,单击
可复制统计图表的数据。
图1 防护事件
在“防护事件列表”中,查看防护详情。
根据筛选条件字段匹配值进行筛选,可设置多项匹配条件,单击“确定”后,匹配条件会展示在事件列表的上方,条件字段参数说明如表2所示。
在事件列表的左上角,单击“导出”,可导出防护事件列表数据,防护事件数据小于200条将直接导出到本地;防护事件数据大于等于200条时,将在“下载”页面生成一条防护事件数据,您可以在下载页面去下载防护事件数据。
单击
,可选择防护事件列表展示的字段。
在目标事件的“操作”列单击“详情”,可查看目标域名攻击事件详情。
图2 防护事件列表
|
参数名称 |
参数说明 |
|---|---|
|
事件ID |
标识该防护事件的ID。 |
|
事件类型 |
发生攻击的类型。 默认选择“全部”,查看所有攻击类型的日志信息,也可以根据需要,选择攻击类型查看攻击日志信息。 |
|
规则ID |
内置Web基础防护规则ID。 |
|
防护动作 |
防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 |
|
源IP |
Web访问者的公网IP地址(攻击者IP地址)。 默认选择“全部”,查看所有的日志信息,也可以根据需要,选择或者自定义攻击者IP地址查看攻击日志信息。 |
|
URL |
攻击的防护域名的URL。 |
|
状态码 |
拦截页面返回的HTTP状态码。 |
|
防护域名 |
被攻击的防护域名。 |
|
参数 |
说明 |
示例 |
|---|---|---|
|
时间 |
本次攻击发生的时间。 |
2021/02/04 13:20:04 |
|
源IP |
Web访问者的公网IP地址(攻击者IP地址)。 |
– |
|
防护域名 |
被攻击的防护域名。 |
www.example.com |
|
地理位置 |
攻击者来源IP所在地区。 |
– |
|
规则ID |
内置Web基础防护规则ID。 |
– |
|
URL |
攻击的防护域名的URL。 |
/admin |
|
事件类型 |
发生攻击的类型。 |
SQL注入攻击 |
|
防护动作 |
防护配置中设置的防护动作,包含:拦截、仅记录、人机验证等。 说明: 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中防护规则,则防护动作显示为“不匹配”。 |
拦截 |
|
状态码 |
拦截页面返回的HTTP状态码。 |
418 |
|
恶意负载 |
本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。 说明: 对于CC攻击事件,恶意负载表示当时访问URL的次数。 |
id=1 and 1=’1 |
|
企业项目 |
网站所在的企业项目。 |
default |
父主题: 管理防护事件
同意关联代理商云淘科技,购买华为云产品更优惠(QQ 78315851)
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
