攻击日志
最近更新时间: 2024-10-17 17:10:00
1. 功能简介
Web 应用防火墙默认记录 Web 攻击日志信息,包括攻击产生的时间、攻击源 IP、攻击类型、攻击详情等信息。您可以根据需要按照过滤条件进行日志查询,并下载查询结果。
2. 使用说明
2.1 查询攻击日志
- 登录Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志。进入攻击日志查询页面,单击日志查询,在上方下拉搜索列表中选择域名,根据需要设置查询条件,单击查询,查看对应的攻击日志信息。
查询条件说明:
域名:在域名下拉搜索列表中,选择需要查询的域名。
时间条件:默认为1个小时,最长可查询30天的攻击日志信息。
风险等级:默认为全部,可选择高危、中危、低危。
执行动作:默认为全部,可选观察和拦截。
策略 ID:输入您需要查询的策略 ID(策略 ID 可以在日志条目中查看)。
攻击源 IP:输入您要查询的攻击源 IP,进行查询。
- 单击攻击日志右上角的设置按钮 ,在弹出的“自定义列表字段”弹窗中,选择需要显示的列表详细信息。如下图所示:
- 查看攻击详情。选择您需要查看日志条目,在右侧操作栏,单击详情,查看攻击详情信息。
- 进入日志详情页面,查看对应字段。
2.2 导出攻击日志
- 登录Web 应用防火墙控制台,在左侧导航栏中,选择日志服务>攻击日志。进入攻击日志查询页面,单击日志查询,在上方下拉搜索列表中选择域名,根据需要设置查询条件,单击查询,查看对应的攻击日志信息。单击导出日志,导出对应的攻击日志信息。
导出条件说明:
域名:在域名下拉搜索列表中,选择需要查询的域名。
时间条件:默认为1个小时,最长可查询30天的攻击日志信息。
风险等级:默认为全部,可选择高危、中危、低危。
执行动作:默认为全部,可选观察和拦截。
策略 ID:输入您需要查询的策略 ID(策略 ID 可以在日志条目中查看)。
攻击源 IP:输入您要查询的攻击源 IP,进行查询。
日志表格内容不可为空。
- 选择日志服务>攻击日志>下载任务。进入下载任务查询页面。如下图所示:
- 单击下载,提示“日志文件下地址复制成功,请新建浏览器窗口打开”将链接复制到浏览器中打开,成功下载出日志压缩包。
日志详情字段说明:
- 基础信息
字段名称 | 字段说明 |
---|---|
域名 | 客户端访问的域名 |
攻击类型 | 当前 Web 应用防火墙支持的攻击类型信息,默认为全部。 |
聚合攻击次数 | 相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。 |
攻击源 IP | 客户端攻击的源 IP。 |
命中规则 ID | 触发防护策略的规则 ID,其中 AI 引擎检出的攻击,规则 ID 为0。 |
命中规则名称 | 触发防护策略的策略名称,其中规则引擎和 AI 引擎的策略名称为空。 |
请求方法 | 客户端攻击请求方法。 |
风险等级 | 客户端攻击触发的风险等级。 |
攻击时间 | 客户端攻击触发的时间。 |
匹配来源 | 客户端攻击匹配来源信息,如来源 IP。 |
执行动作 | 客户端攻击触发的动作。 |
请求 URI | 请求 URI 的内容。 |
攻击内容 | 客户端触发攻击的内容。 |
- 攻击 IP 详情
字段名称 | 字段说明 |
---|---|
地区 | 购买源 IP 国家英文缩写。 |
IP 所有者 | 购买源 IP 所有者信息。 |
国家 | 攻击源 IP 所属的国家名称。 |
省份 | 攻击源 IP 所属的省份信息。 |
城市 | 攻击源 IP 所属的城市信息。 |
运营商 | 攻击源 IP 所属的运营商信息。 |
经度 | 攻击源 IP 的经度信息。 |
纬度 | 攻击源 IP 的纬度信息。 |
- 详情信息
字段名称 | 字段说明 |
---|---|
协议版本 | 攻击源 IP 的 HTTP 协议版本信息。 |
User-Agent | 攻击源 IP 向服务器用来表明自己的浏览器类型和操作系统标识等信息。 |