云WAF将攻击防护的事件详情记录在事件报表中,用户可在事件列表中查看攻击时间、攻击IP、攻击类型、攻击URL、地理位置、处置动作、命中规则ID、攻击详情等。具体功能如下:
- 支持查看所选时间范围内的防护事件,查询时间支持选择昨天、今天、近3天、近7天、近30天或自定义时间。
- 提供防护事件多级查询,筛选条件包括域名、攻击类型、攻击IP、防护模块、处置动作、规则ID、请求UUID等。
- 支持将列表数据下载到本地。
前提条件
- 已开通Web应用防火墙(原生版)实例。
- 已完成网站域名接入并正常防护。
查询防护事件
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全 > Web应用防火墙(原生版)”。
-
在左侧导航栏,选择“防护事件 > 查询防护事件”,进入防护事件页面。
-
在防护事件列表上方,可以设置筛选条件,支持设置多项匹配条件。
查询条件字段参数说明:
参数名称 参数说明 域名 选择想要查看的域名,支持全部域名或某个域名。
时间选择
可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定义时间范围内的防护日志。
攻击类型
发生的攻击类型。默认为全部攻击类型,也可以根据需要,选择攻击类型查看攻击日志信息。
攻击IP
Web访问者的公网IP地址,默认为全部,也可以根据需要输入攻击者IP地址查看攻击日志信息。
防护模块 按防护模块进行筛选。 处置动作
防护配置中设置的防护动作,包含:观察、拦截、放行、验证码、JS验证、重定向、重置链接、全部脱敏。
规则ID
攻击触发的防护规则ID。 UUID关键字
请求对应的唯一标识。
-
筛选条件设置完成后,点击“查询”,筛选后的结果将在列表中展示。
注意单次查询控制台最多支持返回1000条事件数据。当筛选条件范围过大时,可能存在返回数据不全问题,建议查询时缩小时间范围。
查看防护事件详情
单击防护事件列表操作列的“查看详情”,进入事件详情页面,查看完整日志。
攻击日志字段说明:
参数名称 参数说明 http_host 请求头中的host字段值,即域名。
action
规则动作,包括观察、拦截、验证码、JS挑战、重定向等。
attack_type
发生的攻击类型,包括SQL注入、XSS、BOT、目录穿越、命令注入、模板注入、CC攻击、IP黑名单、自定义精准攻击、信息泄露、文件上传等。
request_uri
攻击的防护域名的URL。
remote_addr
客户端IP地址,即攻击IP。
attack_area
客户端攻击IP所属地区。
time_local
服务器时间,即攻击时间。
rule_id
攻击触发的防护规则ID。
unique_id
请求对应的唯一标识。
IP一键加白/黑
可以对攻击源IP进行加白、加黑处理。
单击防护事件列表操作列的“IP一键加白/黑”,或在防护事件详情页单击“IP一键加白/黑”,在弹出的对话框中选择IP黑白名单规则。若规则名称下拉列表无可选项,可以单击“新建规则”,配置规则名称和过期时间,新建一个规则。
误报消除
若对正常网站请求造成误拦截,可以通过误报消除自动添加规则白名单,让满足条件的请求不经过指定规则的检测。建议您结合实际业务需求,确保放行的都是预期的访问请求。
支持对Web基础防护、BOT防护这两个防护模块产生的事件进行误报消除。
-
单击防护事件操作列的“误报消除”。
-
会自动将触发该规则的源IP及相关URL等字段自动生成白名单。该白名单仅针对规则不触发,不影响其他模块检测。
-
配置规则名称、规则描述、过期时间。
-
单击“确定”,完成操作。
下载防护事件数据
单击防护事件列表上方的“下载”,可以将查询出的防护事件列表下载到本地。
