- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
- 动态与公告
- 产品动态
- 产品公告
- 安全公告
- Apache log4j2 远程代码执行漏洞风险公告(CVE-2021-44832)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-45046)
- Apache Log4j 2 远程代码执行漏洞风险公告(CVE-2021-44228)
- Weblogic Console HTTP 协议远程代码执行漏洞公告
- Exchange Server 命令执行漏洞的安全防护公告
- 用友 GRP-U8 行政事业内控管理软件存在 SQL 注入漏洞公告
- CVE-2020-11991 Apache Cocoon XML 外部实体注入漏洞公告
- WordPress File Manager 存在任意代码执行漏洞公告
- Jenkins 发布9月安全更新公告
- Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)
- Apache SkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921)
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 最佳实践
- 常见问题
- 服务等级协议
- WAF 策略
- 联系我们
- 词汇表
本文为您介绍如何使用攻击日志进行攻击日志索引、快速分析和查询。
背景信息
Web 应用防火墙默认提供攻击日志功能,详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息。攻击日志仅支持查询或导出最近30天日志。攻击日志支持全文检索、模糊搜索和组合条件搜索等检索方式,同时支持根据检索条件下载日志,支持百万级日志下载。
检索攻击日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择日志服务 > 攻击日志 > 日志服务。
2. 在日志查询页签,您可以根据需要,选择实例、域名、攻击类型、执行动作、风险等级及时间维度等信息,筛选查看攻击日志。
字段名称 | 字段说明 |
实例 | 支持多选,默认显示全部实例。 |
域名 | 支持多选,默认显示全部域名。 |
攻击类型 | 支持多选,默认为全部攻击类型,攻击类型包括各个安全模块产生的观察和拦截日志。 |
执行动作 | 单选,默认为全部执行动作,包括观察和拦截两种类型。 |
风险等级 | 单选,默认为全部风险等级,包括高危、中危和低危三种类型。 |
时间范围 | 默认为近一小时,支持筛选最近时间及相对时间。 |
自动刷新 | 定时自动刷新当前页面,默认为关闭;若开启开关,您可选择按照时间范围刷新当前页面,获取最新攻击日志数据。 |
3. 设置完成检索条件,单击检索分析,即可查看检索分析结果。
分析攻击日志
1. 在攻击日志数据列表右上方,单击
2. 在攻击日志原始数据页面左侧,单击具体统计字段,可快速查看符合检索条件下,各个字段值在攻击日志中的占比。单击字段值,可快速筛选包含该字段值的所有攻击日志。
3. 在攻击日志数据列表中,单击
下载攻击日志
1. 在攻击日志数据列表右上方,单击
说明
默认下载当前检索的日志范围。
同一时间段内只允许创建一个下载任务,请耐心等待。
单次最多支持下载100万条日志,如果您需要下载的日志超过100万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
当选择泛域名(如
*.abc.com)时,所有关联子域名(如以.abc.com结尾)的日志也将会被下载。2. 在下载任务页面,单击创建任务。
3. 在创建下载任务弹窗内输入任意任务名称,单击创建后即可下载。
4. 创建任务后,在下载任务页面,可以查看创建日志文件的日志总数、下载进度、创建时间、过期时间和下载状态信息。单击下载,即可下载 csv 格式的日志文件。
说明
创建成功的日志下载任务,保留3天,超过3天之后日志文件将会删除,请及时下载。
附录
日志详情字段说明
基本信息
字段名称 | 字段说明 |
host | 客户端访问的域名信息。 |
uri | 请求 URI :用于标识请求资源的字符串。 |
attack_ip | 攻击源 IP:客户端攻击的源 IP。 |
attack_type | 攻击类型:攻击具体命中的攻击类型。 |
rule_id | 规则ID:触发防护策略的规则 ID,其中 AI 引擎检出的攻击详情的规则 ID 为0。 |
method | 请求方法:客户端攻击请求方法。 |
user_agent | User-Agent:攻击源 IP 向服务器表明的浏览器类型和操作系统标识等信息。 |
risk_level | 风险等级:客户端攻击触发的风险等级。 |
status | 执行状态:攻击请求的处置结果,包括观察(0)、拦截(1)两种处理结果。 |
count | 聚合攻击次数,相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。 |
domain | 客户端攻击的域名信息。 |
pan | 客户端访问的域名信息。 |
domain_name | 客户端访问的域名信息。 |
attack_time | 攻击时间,客户端攻击触发的时间。 |
attack_place | 攻击位置,攻击方式在 HTTP 请求中的位置。 |
action | 执行动作,客户端攻击触发的处置动作,包括观察(0)、拦截(1)两种处理结果。 |
ipinfo_nation | 攻击 IP 所属国家名称。 |
ipinfo_province | 攻击 IP 所属省份信息。 |
ipinfo_city | 攻击 IP 所属城市。 |
ipinfo_state | 攻击 IP 所属国家信息,国家英文缩写。 |
ipinfo_dimensionality | 攻击 IP 所属纬度信息。 |
instance | 域名接入的 Web 应用防火墙实例名称。 |
attack_category | 攻击一级分类,暂未提供。 |
edition | 域名接入的 Web 应用防火墙实例类型:分为 sparta-waf(SaaS 型 WAF)和 clb-waf(负载均衡型 WAF)。 |
uuid | 日志唯一标识。 |
attack_content | 攻击内容:客户端触发攻击的内容。 |
http_log | 记录 HTTP 请求和响应信息的日志文件:包含此次 http 请求的所有 http 信息。 |
headers | 协议头部信息:包括自定义头部信息。 |
rule_name | 规则名称,暂未提供。 |
count | 攻击聚合次数,相同攻击源 IP 和攻击类型,每10秒产生的攻击次数汇总。 |
args_name | 参数名称:HTTP 请求中的参数名 |
ipinfo_isp | 攻击 IP 运营信息。 |
appid | 用户腾讯云账号的 APPID。 |
ipinfo_longitude | 攻击 IP 的经度信息。 |
是
否
本页内容是否解决了您的问题?