云防火墻自動記錄所有流量,并通過可視化日志審計頁面提供便捷的攻擊事件、流量細節和操作日志查詢功能,使得攻擊溯源和流量審查變得簡單快捷。默認情況下,您可以查詢最近7天的審計日志,確保即時的安全監測和有效的事件處理。
云防火墻默認存儲7天的審計日志,如果需要更長時間的日志存儲、滿足等保要求、導出日志原始數據等,您可以開通云防火墻日志分析功能。具體操作,請參見日志分析概述。
審計日志類型
云防火墻日志審計提供事件日志、流量日志和操作日志。
事件日志:記錄了所有被云防火墻識別為潛在安全威脅或異常行為的流量。事件日志詳細描述了攻擊事件的時間、威脅類型、源IP、目的IP、應用類型、嚴重性等級以及動作狀態等關鍵信息,有助于您追蹤和分析安全事件。
針對虛擬補丁和基礎防御攔截的事件日志,您可以在事件日志列表,單擊獲取攻擊樣本,生成7天內的攻擊樣本,通過攻擊樣本查看攻擊事件的詳細數據。生成的攻擊樣本可保留1個月。
流量日志:記錄了通過云防火墻的所有正常網絡流量的細節,包括但不限于源和目的IP、端口號、傳輸協議以及流量大小等。流量日志對于理解網絡使用模式和進行網絡行為分析具有重要價值。
操作日志:記錄了用戶對云防火墻控制臺的所有操作行為,如規則配置更改、系統設置調整或任何管理員干預措施。操作日志有助于審計用戶行為,并確保對系統更改負責。
查詢審計日志
以下內容以查詢流量日志為例,介紹如何使用日志審計。不同日志類型的查詢字段不同,請以實際頁面展示為準。
登錄云防火墻控制臺。
在左側導航欄,選擇
單擊流量日志頁簽,選擇需要查詢日志的防火墻類型。
設置查詢條件和查詢時間,然后單擊搜索。
流量日志核心字段說明
以下介紹部分流量日志字段,幫助您更好地了解流量特征和行為的詳細信息。
查詢流量日志時,您可以在搜索欄右側單擊列表配置,選擇需要在流量日志列表展示的日志字段。除了必選的日志字段外,您最多可以選擇8個可選的日志字段。
字段名稱 | 含義及說明 |
規則名/規則ID | 流量命中的訪問控制策略或攻擊防護規則名稱。 如果不顯示規則名,表示當前流量未命中任何一條訪問控制策略或者攻擊防護規則。 |
ACL預匹配狀態 | 當流量經過云防火墻時,云防火墻會按優先級將訪問控制策略和流量進行匹配,如果在某條匹配的訪問控制策略匹配中,云防火墻無法識別流量的應用或域名,則ACL預匹配狀態顯示為對應的未識別狀態,并且ACL預匹配策略顯示為該訪問控制策略名稱。ACL預匹配狀態取值:
|
ACL預匹配策略 | |
應用識別狀態 | 訪問控制策略匹配中,流量應用的識別狀態。取值:
|