日志審計
云防火墻自動記錄所有流量,并通過可視化日志審計頁面提供便捷的攻擊事件、流量細節(jié)和操作日志查詢功能,使得攻擊溯源和流量審查變得簡單快捷。默認情況下,您可以查詢最近7天的審計日志,確保即時的安全監(jiān)測和有效的事件處理。
云防火墻默認存儲7天的審計日志,如果需要更長時間的日志存儲、滿足等保要求、導出日志原始數(shù)據(jù)等,您可以開通云防火墻日志分析功能。具體操作,請參見日志分析概述。
審計日志類型
云防火墻日志審計提供事件日志、流量日志和操作日志。
事件日志:記錄了所有被云防火墻識別為潛在安全威脅或異常行為的流量。事件日志詳細描述了攻擊事件的時間、威脅類型、源IP、目的IP、應用類型、嚴重性等級以及動作狀態(tài)等關鍵信息,有助于您追蹤和分析安全事件。
針對虛擬補丁和基礎防御攔截的事件日志,您可以在事件日志列表,單擊獲取攻擊樣本,生成7天內(nèi)的攻擊樣本,通過攻擊樣本查看攻擊事件的詳細數(shù)據(jù)。生成的攻擊樣本可保留1個月。
流量日志:記錄了通過云防火墻的所有正常網(wǎng)絡流量的細節(jié),包括但不限于源和目的IP、端口號、傳輸協(xié)議以及流量大小等。流量日志對于理解網(wǎng)絡使用模式和進行網(wǎng)絡行為分析具有重要價值。
操作日志:記錄了用戶對云防火墻控制臺的所有操作行為,如規(guī)則配置更改、系統(tǒng)設置調(diào)整或任何管理員干預措施。操作日志有助于審計用戶行為,并確保對系統(tǒng)更改負責。
查詢審計日志
以下內(nèi)容以查詢流量日志為例,介紹如何使用日志審計。不同日志類型的查詢字段不同,請以實際頁面展示為準。
登錄云防火墻控制臺。
在左側導航欄,選擇
單擊流量日志頁簽,選擇需要查詢?nèi)罩镜姆阑饓︻愋汀?/p>
設置查詢條件和查詢時間,然后單擊搜索。
流量日志核心字段說明
以下介紹部分流量日志字段,幫助您更好地了解流量特征和行為的詳細信息。
查詢流量日志時,您可以在搜索欄右側單擊列表配置,選擇需要在流量日志列表展示的日志字段。除了必選的日志字段外,您最多可以選擇8個可選的日志字段。
字段名稱 | 含義及說明 |
規(guī)則名/規(guī)則ID | 流量命中的訪問控制策略或攻擊防護規(guī)則名稱。 如果不顯示規(guī)則名,表示當前流量未命中任何一條訪問控制策略或者攻擊防護規(guī)則。 |
ACL預匹配狀態(tài) | 當流量經(jīng)過云防火墻時,云防火墻會按優(yōu)先級將訪問控制策略和流量進行匹配,如果在某條匹配的訪問控制策略匹配中,云防火墻無法識別流量的應用或域名,則ACL預匹配狀態(tài)顯示為對應的未識別狀態(tài),并且ACL預匹配策略顯示為該訪問控制策略名稱。ACL預匹配狀態(tài)取值:
|
ACL預匹配策略 | |
應用識別狀態(tài) | 訪問控制策略匹配中,流量應用的識別狀態(tài)。取值:
|
相關文檔
云防火墻默認存儲7天的審計日志,如果需要更長時間的日志存儲或滿足等保要求,您可以開通云防火墻日志分析功能。具體操作,請參見日志分析概述。
云防火墻提供網(wǎng)絡抓包工具,支持捕獲指定IP和端口的網(wǎng)絡數(shù)據(jù)包、分析數(shù)據(jù)包內(nèi)容,幫助您定位網(wǎng)絡故障和分析攻擊行為,從而識別出網(wǎng)絡通信的安全風險。具體操作,請參見網(wǎng)絡抓包。