- Web应用防火墙支持记录防护日志吗?
- 如何获取拦截的数据?
- 防护事件列表中,防护动作为“不匹配”是什么意思呢?
- Web应用防火墙的防护日志可以存储多久?
- Web应用防火墙可以同时查询多个指定IP的防护事件吗?
- Web应用防火墙会记录未拦截的事件吗?
- 为什么WAF显示的流量大小与源站上显示的不一致?
Web应用防火墙支持记录防护日志吗?
在WAF管理控制台,您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。
如果您需要长期保存防护日志,您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS)上。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
有关WAF日志配置到LTS的详细操作,请参见开启全量日志。
如何获取拦截的数据?
通过Web应用防火墙服务可下载5天内的所有防护域名的仅记录和拦截的攻击事件数据,当天的防护事件数据,在次日凌晨生成防护事件数据的CSV文件。
可参照下载防护事件数据获取拦截数据。
防护事件列表中,防护动作为“不匹配”是什么意思呢?
配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后,如果访问请求命中这些防护规则,则防护日志中记录的防护事件,“防护动作”显示为“不匹配”。
Web应用防火墙的防护日志可以存储多久?
在WAF管理控制台,您可以免费查看最近30天的防护日志、下载5天内的所有防护域名的防护日志数据。
您可以将WAF的防护日志记录到单独收费的云日志服务(Log Tank Service,简称LTS),LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至对象存储服务(OBS)或者数据接入服务(DIS)中长期保存。
Web应用防火墙可以同时查询多个指定IP的防护事件吗?
WAF不支持同时查询多个指定IP的防护事件。您可以在“防护事件”页面,通过“事件类型”、“防护动作”、“源IP”、“URL”、“事件ID”组合条件,查看防护域名相应的防护事件。
Web应用防火墙会记录未拦截的事件吗?
WAF根据配置的防护规则拦截攻击事件,并将拦截或者仅记录攻击的事件记录在防护日志中,不会记录未拦截的事件。
为什么WAF显示的流量大小与源站上显示的不一致?
WAF“安全总览”页面显示的流量大小与源站上显示的不同,主要原因说明如下:
-
网页压缩
WAF默认开启压缩,客户端(如浏览器)与WAF之间进行通信的网页可能被压缩(依赖浏览器压缩选项),而源站服务器可能不支持压缩。
-
连接复用
WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。
-
攻击请求
攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。
-
其他异常请求
如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。
-
TCP层的重传等
WAF统计的带宽是7层的数据,而源站服务器网卡统计的是4层的数据。当网络通信质量差时,会出现TCP重传,网卡统计的带宽会重复计算,而7层传输的数据不会重复计算。在这种情况下,WAF上显示的带宽会低于源站上显示的带宽。
