日志查询为您提供7天的日志记录。
- 攻击事件日志:查看检测到的危险流量的危险等级、受影响的端口、命中的规则、攻击事件类型等信息。
- 访问控制日志:查看根据访问控制策略放行或阻断的所有流量,以便更好的调整访问控制策略。
- 流量日志:查看通过的所有流量记录。
日志支持筛选、刷新、导出、显示/隐藏列的方式,助您使用。
前提条件
攻击事件日志
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”,进入“攻击事件日志”页面。
4.查看近一周的攻击事件详情。
“攻击事件日志”的参数说明:
| 参数 | 说明 |
|---|---|
| 发生时间 | 攻击事件发生的时间。 |
| 攻击事件类型 | 攻击事件所属类型,主要包括:TCP、UDP、IMAP、DNS、FTP、HTTP、POP3等。 |
| 危险等级 | 危险等级包括:高、中、低。 |
| 规则ID | 对应规则的ID号。 |
| 判断来源 | 目前有3种来源,分别是威胁情报、规则基线、AI引擎。 |
| 命中规则名称 | 规则库中相对应的命中规则名称。 |
| 源IP | 单个IP地址、连续多个IP地址、地址段。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,连续端口组中间使用“-”隔开,如:80-443。 |
| 目的IP | 单个IP地址、连续多个IP地址、地址段。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,连续端口组中间使用“-”隔开,如:80-443。 |
| 协议/应用 | 攻击事件的协议类型,或是什么应用。 |
| 方向 | 包括两个方向:出方向、入方向。 |
| 响应动作 | 包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。 |
访问控制日志
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”。
4.选择“访问控制日志”页签,可查看近一周的访问控制情况。若需要修改指定IP访问控制的响应动作,请参照添加防护规则或添加黑/白名单。
“访问控制日志”的参数说明:
| 参数 | 说明 |
|---|---|
| 接收时间 | 访问发生的时间。 |
| 访问源 | 访问的源IP地址。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 访问目的 | 访问目的IP。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,中间使用“-”隔开,如:80-443 |
| 协议 | 攻击事件的协议类型。 |
| 响应动作 | 包括观察者模式(“观察”)和拦截模式(“阻断”或“放行”)。 |
| 规则 | 访问控制的规则类型,包括黑名单、白名单。 |
| 状态 | 访问控制的状态。 |
流量日志
1.登录天翼云控制中心。
2.在左侧导航树中,单击左上方的“服务列表”,选择“安全 > 云防火墙”,进入云防火墙的概览页面。
3.在左侧导航树中,选择“日志审计”。
4.选择“流量日志”页签,可查看近一周的流量字节数和报文数。
“流量日志”的参数说明:
| 参数 | 说明 |
|---|---|
| 开始时间 | 流量防护发生的时间。 |
| 结束时间 | 流量防护结束的时间。 |
| 访问源 | 单个IP地址、连续多个IP地址、地址段。 |
| 源端口 | 攻击事件的源端口。包括单个端口,或者连续端口组,连续端口组中间使用“-”隔开,如:80-443。 |
| 访问目的 | 访问目的。 |
| 目的端口 | 攻击事件的目的端口。包括单个端口,或者连续端口组,连续端口组中间使用“-”隔开,如:80-443。 |
| 协议 | 攻击事件的协议类型。 |
| 流字节数 | 防护流量的字节总数。 |
| 流报文数 | 防护流量的报文总数。 |
