本文介绍云防火墙日志分析常见问题的解决方案。

如何降低日志存储空间?

您可以通过减少日志投递时间、减少日志分类投递、定期转存至OSS存储空间四种方式降低日志存储的空间。

  • 减少日志投递时间:如果不需要保留较长时间的历史日志,建议您手动减少日志存储的时长。目前,高级版和旗舰版默认的日志存储时长为180天。
  • 减少日志分类投递:如果只需要关注个别分类的日志,建议您只开启必要的日志分类投递开关。目前,默认开启所有日志分类投递开关,分类如下。
    • 互联网流量日志

      包含攻击事件日志开关、访问控制日志开关、其他流量日志开关。

    • VPC流量日志

      包含攻击事件日志开关、访问控制日志开关、其他流量日志开关。

    • DNS流量日志
    • IPv6流量日志
    • NAT流量日志

    具体操作,请参见日志查询

  • 定期转存至OSS存储空间:如果日志较多,且都需要保留,建议您将日志转存至OSS存储空间。具体操作,请参见创建OSS投递作业(新版)
  • 清空日志:如果测试阶段日志较多,且不需要保留,建议您清空已存储的日志。具体操作,请参见清空日志存储空间

云防火墙的流量日志是否支持导出到第三方系统?

支持。云防火墙高级版、企业版和旗舰版支持日志分析功能,并已同步阿里云日志服务(SLS)。目前云防火墙日志分析功能支持查看并导出互联网流量日志VPC流量日志

您可通过日志分析功能将导出的流量日志文件接入到您的业务系统中,如您的安全运维中心等。

说明 互联网流量日志包括漏洞风险等级和访问控制规则命中结果等数据。

相关操作,请参见将云防火墙流量日志导入第三方系统

如何查看云防火墙日志存储剩余容量?

如果您已经购买了云防火墙高级版、企业版或旗舰版,并开通了日志存储容量(即日志分析服务)。您可以在云防火墙控制台日志分析 > 日志分析页面的右上角,查看日志分析的存储使用量(下图中标注①)和剩余可用容量(下图中标注②)。日志分析
说明 由于云防火墙基础版和免费试用版不支持日志分析功能,控制台将不会展示日志存储容量。

为什么在云防火墙控制台看不到日志存储容量?

云防火墙基础版和免费试用版不支持日志分析功能。如果您使用的是云防火墙基础版或免费试用版,控制台将不会展示日志存储容量。如何开通云防火墙服务的日志分析功能,请参见开通日志分析服务

为什么有来自阿里云的ICMP周期性探测流量日志?

云防火墙为了保障服务质量,会周期性发送ICMP报文进行探测,该类探测不是扫描攻击,不会对业务造成影响。

其访问源IP在云防火墙地址簿云地址簿中的Source address for SLA monitoring中可以查看到,具体日志数据可以通过访问控制中外对内SLA策略命中次数访问详细日志。

为什么流量日志有应用显示为unknown的流量?

应用显示为unknown的流量,可能存在如下原因:
  • 如果流量日志的收发包个数小于3个包,且未建立会话,可能是扫描流量,则应用显示为unknown。
  • 如果被四层访问控制策略拦截的流量,这种情况不会建立会话,则应用显示为unknown。
  • 如果被入侵防御拦截或其他原因导致TCP Reset流量中断,没有匹配到特征时,则应用显示为unknown。
  • 如果为加密流量、非标应用、内部应用、DPI不支持的应用时,则应用显示为unknown。