产品动态
引擎更新动态
产品公告
日志审计
本文档将指导您查看云防火墙相关日志。
查看访问控制日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择日志审计 > 访问控制日志。
2. 在访问控制日志页面,可以查看云防火墙基于用户在互联网边界防火墙、NAT 边界防火墙、VPC 间防火墙和企业安全组间配置的访问控制规则所生成的规则命中记录日志。
3. 同时,在互联网边界防火墙、NAT 边界防火墙页面下,访问控制日志会根据入站以及出站方向生成两张规则命中列表,方便用户区分查看。
4. 在规则命中列表的右侧操作栏,单击查看。
5. 在命中规则详情页面,可查看针对该条规则的详细命中情况。
说明:
若在日志生成时间后,该规则被用户删除,则状态显示为已删除。
若在日志生成时间后,该规则被用户编辑,则状态显示为已编辑。
若在日志生成时间后至今,该规则未被编辑或删除,则状态显示为新增。
6. 为了进一步加快对访问控制日志的检索及过滤,可以通过单击访问源或访问目的右侧的
7. 单击页面右侧的
查看入侵防御日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择日志审计 > 入侵防御日志。
2. 在入侵防御日志页面,可查看云防火墙基于“观察模式”和“拦截模式”所产生和记录的所有安全事件,有“外部入侵,主机失陷,横向移动,网络蜜罐”四个列表,分别查看入站和出站的安全事件详细情况。
查看全流量检测与响应日志
全流量检测与响应日志包含流量分析日志、流量告警日志、流量风险日志、文件检测日志。
1. 登录 云防火墙控制台,在左侧导航栏中,选择日志审计 > 全流量检测与响应日志。
2. 在全流量检测与响应日志页面,您可以进行如下操作:
流量分析日志:支持查看全流量检测与响应的分析日志,包含入向流量、出向流量、内网流量。
单击右上角的日志解析设置,选择目标自定义解析字段,单击编辑,即可对 HTTP Header 中的特殊字段进行自定义解析,并将其新增至流量日志中。最多可解析3个自定义字段。
勾选只看解密检测,页面将只显示经全流量检测与响应解密并完成检测的日志。
流量告警日志:支持查看全流量检测与响应的告警日志,包含外部入侵、主机失陷、横向移动,支持攻击结果筛选查询。
勾选只看解密检测,页面将只显示经全流量检测与响应解密并完成检测的日志。
单击查看详情,支持查看流量告警日志详情,支持查看会话还原、完整日志及 PCAP 下载。
流量风险日志:支持查看全流量检测与响应的风险日志,包含弱口令风险、敏感数据泄露。
在敏感数据泄露页面,您可单击 API 接口敏感数据泄露或外联 AI 应用敏感数据泄露,查看对应的风险日志。
单击查看详情,支持查看流量风险日志详情。
文件检测日志:支持查看全流量检测与响应的文件检测日志,包含文件告警日志、检出文件列表。
文件告警日志:单击查看详情,支持查看文件告警日志详情和下载完整文件。
检出文件列表:支持查看文件具体信息,并可单击查看流量日志或查看告警日志跳转到对应日志具体界面;也可单击下载下载此文件。
说明:
检出文件将保存最长30天,请及时查看或处理。
查看流量日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择日志审计 > 流量日志。
2. 在流量日志页面,可以查看互联网边界防火墙和 NAT 边界防火墙基于出站和入站所产生的南北向流量十元组信息,以及 VPC 间的东西向流量情况。
3. 使用资产实例名进行日志的查询和过滤。为了方便通过资产的粒度和角度去全局查看流量情况,可以在流量日志页面左上角,单击全部资产,在搜索下拉框使用某个资产实例名对日志进行过滤,并查询该资产的所有流量日志。
4. 为了进一步加快对日志的检索及过滤,可以通过单击访问源或访问目的右侧的
查看操作日志
1. 登录 云防火墙控制台,在左侧导航栏中,选择日志审计 > 操作日志。
2. 在“操作日志”页面,可以查看基于该账号内,用户针对安全策略以及开关页所进行的所有操作行为以及操作详情。
标签名称 | 标签说明 |
防火墙开关 | 记录防火墙开关情况以及用户配置实例的操作详情。 |
资产中心操作 | 记录用户对于资产中心模块所进行的操作详情。 |
访问控制操作 | 记录用户对于访问控制规则的新增/编辑和删除操作。 |
入侵防御操作 | 记录用户对于入侵防御模块所进行的操作详情。 |
常用工具操作 | 记录用户对常用工具所进行的操作详情。 |
网络蜜罐操作 | 记录用户对蜜罐服务、暴露探针进行的操作。 |
日志操作 | 记录用户对不同日志类型所进行的操作详情。 |
设置操作 | 记录用户对各模块的设置所进行的操作详情。 |
登录日志 | 记录该用户全部账号的登录情况。 |
系统日志 | 记录系统事件。 |
相关信息
文档反馈