• 如何減少日志分析存儲容量？

• 云防火墻的流量日志是否支持導出到第三方系統？

• 如何查看云防火墻日志存儲剩余容量？

• 為什么有來自阿里云的ICMP周期性探測流量日志？

• 為什么流量日志有應用顯示為Unknown？

• 釋放云防火墻后，日志分析數據是否會保留？

• 日志審計記錄是否支持導出？

• 如何通過日志查看云防火墻防護攻擊的總次數？

• 云防火墻引擎運維升級之后，為什么部分長連接流量日志缺失？

• 為什么云防火墻的日志總數與DDoS高防、WAF的日志總數不一致？

如何減少日志分析存儲容量？

您可以通過減少日志存儲時長、減少日志分類投遞、定期轉存至OSS存儲空間、清空日志存儲空間等方式降低日志存儲的空間。

• 減少日志存儲時長

  開通日志分析后，日志默認存儲時長為180天。如果您確認業務不需要保留較長時間的歷史日志，您可以手動修改日志存儲的時長。具體操作，請參見修改日志存儲時長。

• 減少日志投遞分類

  云防火墻默認開啟所有日志類型的投遞開關，如果只需要關注個別分類的日志，建議您只開啟必要的日志分類投遞開關。具體操作，請參見設置日志采集類型。

• 定期轉存至OSS存儲空間

  如果日志較多，且都需要保留，建議您將日志轉存至OSS存儲空間。具體操作，請參見創建OSS投遞任務（新版）。

• 清空日志

  如果測試階段日志較多，且不需要保留，建議您清空已存儲的日志。具體操作，請參見管理日志存儲空間。

云防火墻的流量日志是否支持導出到第三方系統？

支持。您可以通過云防火墻日志分析功能導出日志，將導出的日志文件接入到第三方業務系統，如安全運維中心等。

您可以根據實際場景，選擇合適方式導出日志。

• 日志數據量小的場景

  您可以通過云防火墻日志分析提供的日志下載功能，將日志下載到本地，然后上傳到第三方系統。下載日志的具體操作，請參見導出日志。

• 日志數據量大的場景

  您可以通過日志服務控制臺，通過程序組編程等方式，將日志數據導出到第三方系統。具體操作，請參見通過消費組消費日志。

如何查看云防火墻日志存儲剩余容量？

未開通云防火墻日志分析功能時，不支持查看日志存儲容量。如果您已經開通了云防火墻日志分析功能，您可以通過云防火墻控制臺查看日志存儲的使用量和剩余容量。具體操作，請參見管理日志存儲空間。

為什么有來自阿里云的ICMP周期性探測流量日志？

云防火墻為了保證服務質量，會周期性發送ICMP報文進行探測，該類探測不是掃描攻擊，不會對業務造成影響。

您可以登錄云防火墻控制臺，通過云服務地址簿Source address for SLA monitoring，查看云防火墻SLA服務質量探針地址。具體操作，請參見地址簿管理。

為什么流量日志有應用顯示為Unknown？

應用顯示為Unknown，說明云防火墻未識別到流量的應用，可能存在如下原因：

• 流量日志的收發包個數小于3個包，且未建立會話，可能是掃描流量。

• 被四層訪問控制策略攔截的流量，這種情況不會建立會話。

• 被入侵防御攔截或其他原因導致TCP Reset流量中斷，沒有匹配到特征。

• 流量為加密流量，或者流量應用類型為非標應用、內部應用、DPI不支持的應用等。

當云防火墻無法識別流量的應用或域名時，為了不影響業務，云防火墻會默認放行這些流量。如果您不希望直接放行這些流量，您可以開啟對應防火墻的嚴格模式。具體操作，請參見訪問控制引擎模式介紹或配置ACL引擎模式。

釋放云防火墻后，日志分析數據是否會保留？

包年包月版本不保留，按量版保留。

釋放云防火墻后，云防火墻的配置數據（例如訪問控制策略、攻擊防護策略、流量分析策略配置等）將保留7天。如果您需要保留包年包月版日志分析數據，請在釋放云防火墻之前，將日志導出到本地或投遞到第三方系統。具體操作，請參見導出日志。

日志審計記錄是否支持導出？

日志審計記錄不支持直接導出，您可以在日志分析頁面，通過設定查詢語句，搜索及導出原始日志。

例如，您需要導出最近24小時互聯網邊界防火墻入方向流量，并且應用類型為HTTPS的日志，操作步驟如下：

1. 登錄云防火墻控制臺。

2. 在左側導航欄，選擇日志監控 > 日志分析

3. 在日志分析頁簽的搜索框輸入查詢語句，并且設置查詢時間為1天。具體操作，請參見查詢及分析日志。

   查詢語句如下：

   log_type:internet_log and direction:"in" and app_name:"HTTPS"

4. 導出查詢結果。具體操作，請參見導出日志。

如何通過日志查看云防火墻防護攻擊的總次數？

您可以設置查詢語句rule_result:drop和需要查詢的時間，通過查詢結果的日志條數來判斷云防火墻攔截的攻擊總次數。具體操作，請參見查詢及分析日志。

為什么云防火墻的日志總數與DDoS高防、WAF的日志總數不一致？

因為云防火墻日志記錄對象是四層流量的入向和出向日志，而DDoS高防和WAF記錄對象是七層HTTP請求的日志。

四層日志關注的是單獨的TCP或UDP連接和單個數據包，而七層日志關注的是完整的HTTP請求和響應。一個HTTP請求或響應受網絡環境等影響可能會通過多個TCP報文傳輸，因此在四層可能記錄多條日志，而在七層只記錄為一條HTTP請求或響應的日志。

此外，由于重傳、網絡延遲、分片及應用層協議的特性（如 HTTP Keep-Alive），四層的日志記錄也會比七層的日志更為復雜和繁多。因此，在對這些不同層級的日志進行比對或分析時，考慮到它們固有的差異是非常重要的。

因此，云防火墻的日志總數與DDoS高防、WAF的日志總數不一致屬于正常現象。

云防火墻引擎運維升級之后，為什么部分長連接流量日志缺失？

云防火墻引擎運維升級對于用戶業務無影響。但是在引擎升級和擴縮容等運維場景下，會導致部分長鏈接的流量日志后續不再上報，缺少一部分流量日志數據。

您可以開通日志分析服務，在日志分析頁面，選擇時間范圍為1分鐘，設置日志“new_conn=0”進行查詢，過濾出非新建連接的流量數據，這部分數據可能會丟失。該場景下，當業務重新建立連接后，會繼續記錄日志。

關于如何開通日志分析服務，請參見開通日志分析服務。

如何查詢云防火墻通過服務關聯角色對其他產品執行操作的日志信息？

1. 登錄操作審計控制臺。

2. 在左側導航欄，選擇事件 > 事件查詢。

3. 在頂部導航欄選擇您想查詢事件的地域。

4. 在篩選條件中選擇操作者名稱，設置為aliyunserviceroleforcloudfw，設置查詢的時間范圍，然后單擊圖標查詢相關事件。

5. 找到待查詢的事件，單擊右側操作列下的查看事件詳情，可查看事件的詳細信息及事件記錄代碼。具體操作，請參見事件查詢。