云WAF将攻击防护的事件详情记录在事件报表中,用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下:
支持查看所选时间范围内的防护事件,查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。
提供防护事件多级查询,筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。
支持将列表数据下载到本地。
前提条件
已开通Web应用防火墙(原生版)实例。
已完成网站域名接入并正常防护。
查询防护事件
登录天翼云控制中心。
单击页面顶部的区域选择框,选择区域。
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
在左侧导航栏,选择“防护事件 > 查询防护事件”,进入防护事件页面。
在防护事件列表上方,可以设置筛选条件,支持设置多项匹配条件。
查询条件字段参数说明:
参数名称 参数说明 防护对象 选择想要查看的防护对象,支持选择各防护模式下的所有防护对象或某个防护对象。 时间选择 可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。 攻击类型 发生的攻击类型。默认为全部攻击类型,也可以根据需要,选择攻击类型查看攻击日志信息。 攻击IP Web访问者的公网IP地址,默认为全部,也可以根据需要输入攻击者IP地址查看攻击日志信息。 防护模块 按防护模块进行筛选。 处置动作 防护配置中设置的防护动作,包含:观察、拦截、放行、验证码、JS验证、重定向、重置连接、全部脱敏、动态拦截、限速。 规则ID 攻击触发的防护规则ID。 UUID关键字 请求对应的唯一标识。 筛选条件设置完成后,点击“查询”,筛选后的结果将在列表中展示。
注意
单次查询控制台最多支持返回1000条事件数据。当筛选条件范围过大时,可能存在返回数据不全问题,建议查询时缩小时间范围。
查看防护事件详情
单击防护事件列表操作列的“查看详情”,进入事件详情页面,查看完整日志。
攻击日志字段说明:
| 参数名称 | 参数说明 |
|---|---|
| http_host | 请求头中的host字段值,即域名。 |
| action | 规则动作,包括观察、拦截、验证码、JS挑战、重定向等。 |
| attack_type | 发生的攻击类型,包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等。 |
| request_uri | 攻击的防护域名的URL。 |
| remote_addr | 客户端IP地址,即攻击IP。 |
| attack_area | 客户端攻击IP所属地区。 |
| time_local | 服务器时间,即攻击时间。 |
| rule_id | 攻击触发的防护规则ID。 |
| unique_id | 请求对应的唯一标识。 |
IP一键加白/黑
可以对攻击源IP进行加白、加黑处理。
单击防护事件列表操作列的“IP一键加白/黑”,在弹出的对话框中选择IP黑白名单规则。若规则名称下拉列表无可选项,可以单击“新建规则”,配置规则名称和过期时间,新建一个规则。
误报消除
若对正常网站请求造成误拦截,可以通过误报消除自动添加规则白名单,让满足条件的请求不经过指定规则的检测。建议您结合实际业务需求,确保放行的都是预期的访问请求。
说明
支持对Web基础防护、BOT防护这两个防护模块产生的事件进行误报消除。
单击防护事件操作列的“误报消除”。
会自动将触发该规则的源IP及相关URL等字段自动生成白名单。该白名单仅针对所选规则,不影响其他模块检测。
配置规则名称、规则描述、过期时间。
单击“确定”,完成操作。
下载防护事件数据
单击防护事件列表上方的“下载”,可以将查询出的防护事件列表下载到本地。
