启用安全日志的用户可以登录SLS控制台进行日志的查询与分析,浏览全站加速内置的统计报表,或者根据自身需求选择合适的统计图表来展示查询和分析结果,并将结果保存到仪表盘中。本文为您介绍如何在日志服务(SLS)控制台使用全站加速的安全报表。
前提条件
开通安全日志服务。开通方法,请参考 申请开通安全日志。
您可以通过以下内容了解和分析安全报表:
查询安全日志字段含义
当您开通安全日志后,日志会自动存储于日志服务(SLS)中,您可以通过访问日志库查询日志字段含义。
- 登录日志服务控制台。
- 在Project列表区域,单击目标Project:secure-dcdn-rtlog-<sls region>-<uid>。
说明
- sls region:开通时选择的SLS服务区。
- uid:阿里云账号。
- 在左侧导航栏,选择页签,单击目标Logstore(dcdn-waf-logstore)。
全站加速已经为日志库"dcdn-waf-logstore"自动创建了字段索引和全文索引,单击字段即可查询。日志字段含义请参见安全日志字段说明。
示例一:单击字段 uuid。uuid:740059a21637832489875****结果说明:uuid是终端请求的唯一标识。通过访问日志库查询字段,找到指定uuid对应的原始日志。
示例二:单击字段 security_tag.final_action。security_tag.final_action : block | select domain, count(1) as count group by domain order by count desc limit 10结果说明:首先通过字段查询过滤出攻击请求;然后通过SQL分析把这些请求按域名归类并作排序;最后列出遭受攻击次数最多的10个域名。说明 系统主动拦截的请求被视为攻击请求,即security_tag.final_action=block。更多SLS查询和分析功能,请参见查询和分析日志。
查看安全日志报表
全站加速在日志库"dcdn-waf-logstore"下内置了一套安全报表,助您全方位了解业务风险和全站加速的防护效果。安全报表依赖SLS提供的仪表盘和统计图表功能,相关介绍参考可视化概述。
- 登录日志服务控制台。
- 在Project列表区域,单击目标Project:secure-dcdn-rtlog-<sls region>-<uid>。
说明
- sls region:开通时选择的SLS服务区。
- uid:阿里云账号。
- 在左侧导航栏,选择页签。
- 单击时间选择选择您需要查询的时间段。
- 您可以在报表顶部选择域名、返回码、客户端IP和执行动作,通过下拉菜单构造出不同的组合条件来过滤日志数据。内置报表会根据过滤器的筛选同步自动更新统计图表。
报表从三个维度展示业务风险和防护信息。
维度 图表名称 展示结果 安全总览 流量 按5分钟粒度统计的流量,分为全部流量和攻击流量。 带宽 按5分钟粒度统计的带宽,分为全部带宽和攻击带宽。 请求数 按5分钟粒度统计的请求数,分为全部请求数和攻击请求数。 攻击目标 域名 把攻击请求按域名归类,对访问次数做降序排列。 uri 把攻击请求按URI归类,对访问次数做降序排列。 请求方法 把攻击请求按HTTP请求方法归类,对统计次数做降序排列。 命中规则 统计单个安全模块下命中的规则,对命中次数做降序排列。 攻击来源 referer 把攻击请求按Referer头进行归类,表格展示Referer的分布,对统计次数做降序排列。 UserAgent 把攻击请求按User-Agent头进行归类,表格展示UA的分布,对统计次数做降序排列。 终端用户 把攻击请求按client_ip进行归类,对统计次数做降序排列。针对每个client_ip,给出用户所在的国家,把攻击次数按安全模块进行拆分,并统计查询时间段内的攻击流量。 国家 把攻击请求按client所在的国家进行归类。地图展示攻击的主要来源国。 报表结果如下图所示:
安全总览:
攻击目标:
攻击来源:
安全日志字段说明
| 字段名称 | 字段含义 | 默认是否创建索引 |
|---|---|---|
| client_ip | 用户真实IP。 | 是 |
| domain | 请求的域名。 | 是 |
| method | 请求方法。 | 是 |
| refer_domain | HTTP refer中domain信息。 | 是 |
| refer_param | HTTP refer中的参数信息。 | 是 |
| refer_protocol | HTTP refer中的协议。 | 是 |
| refer_uri | HTTP refer中URI信息。 | 是 |
| request_size | 请求大小。单位:字节。 | 是 |
| response_size | 请求响应的大小。单位:字节。 | 是 |
| return_code | 请求响应码。 | 是 |
| scheme | 请求协议。 | 是 |
| security_tag | 记录边缘防护信息的结构体。
说明 该字段详细说明参见下表。
|
是 |
| unixtime | 请求时间。 | 是 |
| uri | 请求资源。 | 是 |
| uri_param | 请求参数。 | 是 |
| user_agent | 用户代理信息。 | 是 |
| uuid | 请求唯一标识。 | 是 |
security_tag字段说明:您购买
政企安全加速升级了全站加速产品之后,就开启了全套的边缘安全防护。终端用户请求会经过一组安全模块的检查,日志中的security_tag字段记录了这些模块的处理结果。
security_tag字段说明:
security_tag字段说明:
| 字段名称 | 字段含义 |
|---|---|
| security_tag.modules | 包含9个安全模块:精准访问控制、IP黑白名单、Bot管理、频次控制、海量IP封禁、UserAgent黑白名单、区域封禁、Referer黑白名单和Web应用防火墙。
说明 当前只有当WAF的action是block的时候,modules下才会展示WAF的信息。如果security_tag没记录WAF的信息,而用户判断请求可能经过了WAF,可以查询WAF的访问日志获取相关日志,WAF访问日志参见
日志查询。
|
| security_tag.modules.<module_name>.rule | 指定模块下被触发的规则。支持用户自定义的规则,或系统的内置规则。 |
| security_tag.modules.<module_name>.action | 模块按照触发规则对请求执行的动作。
说明 每个模块可执行的动作以及动作排序参考
可执行动作。
|
| security_tag.final_action | 对请求执行的最终动作。请求命中的每个模块会执行一个规定动作。模块间执行的动作可能有差异,final_action对这些动作进行排序,并记录优先级最高的动作。动作优先级排序(close>block>delay>captcha>js>observe>allow>bypass)。
说明 请求命中3个模块,它们执行的动作分别是js,delay,allow。根据动作排序(delay>js>allow)因此final_action为delay。
|
| security_tag.block_module | 拦截请求的具体模块。当final_action为block时,这个字段才被定义,否则为空。 |
安全模块可执行动作:
| 安全模块 | 可执行动作 |
|---|---|
| 精准访问控制 | block、js(限后台配置)、observe和bypass。 |
| IP黑白名单 | block。 |
| Bot管理 | allow、observe、js(限后台配置)、delay(限后台配置)和block。 |
| 频次控制 | allow、block、js、captcha(限后台配置)、delay(限后台配置)和close(限后台配置)。 |
| 海量IP封禁 | block。 |
| UserAgent黑白名单 | block。 |
| 区域封禁 | block和js(限后台配置)。 |
| Referer黑白名单 | block。 |
| Web应用防火墙 | block。 |
动作含义和优先级:close(关闭连接)>block(拦截请求)>delay(延迟回复)>captcha(滑块或其它的手动验证)>js(JavaScript自动验证)>observe(观察)>allow(放行请求)>bypass(让请求跳过指定的模块)。
说明
- observe指放行请求并在日志里做标记。通常用来让用户评估一条新规则的防护效果。
- allow的对象是请求本身;bypass的对象是安全模块。