攻击日志

最近更新时间: 2024-10-17 17:10:00

1. 功能简介

Web 应用防火墙默认记录 Web 攻击日志信息,包括攻击产生的时间、攻击源 IP、攻击类型、攻击详情等信息。您可以根据需要按照过滤条件进行日志查询,并下载查询结果。

2. 使用说明

2.1 查询攻击日志

  1. 登录Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志。进入攻击日志查询页面,单击日志查询,在上方下拉搜索列表中选择域名,根据需要设置查询条件,单击查询,查看对应的攻击日志信息。

查询条件说明:

  • 域名:在域名下拉搜索列表中,选择需要查询的域名。

  • 时间条件:默认为1个小时,最长可查询30天的攻击日志信息。

  • 风险等级:默认为全部,可选择高危、中危、低危。

  • 执行动作:默认为全部,可选观察和拦截。

  • 策略 ID:输入您需要查询的策略 ID(策略 ID 可以在日志条目中查看)。

  • 攻击源 IP:输入您要查询的攻击源 IP,进行查询。

  1. 单击攻击日志右上角的设置按钮 ,在弹出的“自定义列表字段”弹窗中,选择需要显示的列表详细信息。如下图所示:

  1. 查看攻击详情。选择您需要查看日志条目,在右侧操作栏,单击详情,查看攻击详情信息。

  1. 进入日志详情页面,查看对应字段。

2.2 导出攻击日志

  1. 登录Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志。进入攻击日志查询页面,单击日志查询,在上方下拉搜索列表中选择域名,根据需要设置查询条件,单击查询,查看对应的攻击日志信息。单击导出日志,导出对应的攻击日志信息。

导出条件说明:

  • 域名:在域名下拉搜索列表中,选择需要查询的域名。

  • 时间条件:默认为1个小时,最长可查询30天的攻击日志信息。

  • 风险等级:默认为全部,可选择高危、中危、低危。

  • 执行动作:默认为全部,可选观察和拦截。

  • 策略 ID:输入您需要查询的策略 ID(策略 ID 可以在日志条目中查看)。

  • 攻击源 IP:输入您要查询的攻击源 IP,进行查询。

  • 日志表格内容不可为空。

  1. 选择日志服务>攻击日志>下载任务。进入下载任务查询页面。如下图所示:

  1. 单击下载,提示“日志文件下地址复制成功,请新建浏览器窗口打开”将链接复制到浏览器中打开,成功下载出日志压缩包。

日志详情字段说明:

  • 基础信息
字段名称 字段说明
域名 客户端访问的域名
攻击类型 当前 Web 应用防火墙支持的攻击类型信息,默认为全部。
聚合攻击次数 相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。
攻击源 IP 客户端攻击的源 IP。
命中规则 ID 触发防护策略的规则 ID,其中 AI 引擎检出的攻击,规则 ID 为0。
命中规则名称 触发防护策略的策略名称,其中规则引擎和 AI 引擎的策略名称为空。
请求方法 客户端攻击请求方法。
风险等级 客户端攻击触发的风险等级。
攻击时间 客户端攻击触发的时间。
匹配来源 客户端攻击匹配来源信息,如来源 IP。
执行动作 客户端攻击触发的动作。
请求 URI 请求 URI 的内容。
攻击内容 客户端触发攻击的内容。
  • 攻击 IP 详情
字段名称 字段说明
地区 购买源 IP 国家英文缩写。
IP 所有者 购买源 IP 所有者信息。
国家 攻击源 IP 所属的国家名称。
省份 攻击源 IP 所属的省份信息。
城市 攻击源 IP 所属的城市信息。
运营商 攻击源 IP 所属的运营商信息。
经度 攻击源 IP 的经度信息。
纬度 攻击源 IP 的纬度信息。
  • 详情信息
字段名称 字段说明
协议版本 攻击源 IP 的 HTTP 协议版本信息。
User-Agent 攻击源 IP 向服务器用来表明自己的浏览器类型和操作系统标识等信息。