日志常见问题

本文介绍云防火墙日志常见问题的解决方案。

如何减少日志分析存储容量?

您可以通过减少日志存储时长、减少日志分类投递、定期转存至OSS存储空间、清空日志存储空间等方式降低日志存储的空间。

  • 减少日志存储时长

    开通日志分析后,日志默认存储时长为180天。如果您确认业务不需要保留较长时间的历史日志,您可以手动修改日志存储的时长。具体操作,请参见修改日志存储时长

  • 减少日志投递分类

    云防火墙默认开启所有日志类型的投递开关,如果只需要关注个别分类的日志,建议您只开启必要的日志分类投递开关。具体操作,请参见设置日志采集类型

  • 定期转存至OSS存储空间

    如果日志较多,且都需要保留,建议您将日志转存至OSS存储空间。具体操作,请参见创建OSS投递任务(新版)

  • 清空日志

    如果测试阶段日志较多,且不需要保留,建议您清空已存储的日志。具体操作,请参见管理日志存储空间

云防火墙的流量日志是否支持导出到第三方系统?

支持。您可以通过云防火墙日志分析功能导出日志,将导出的日志文件接入到第三方业务系统,如安全运维中心等。

您可以根据实际场景,选择合适方式导出日志。

  • 日志数据量小的场景

    您可以通过云防火墙日志分析提供的日志下载功能,将日志下载到本地,然后上传到第三方系统。下载日志的具体操作,请参见导出日志

  • 日志数据量大的场景

    您可以通过日志服务控制台,通过程序组编程等方式,将日志数据导出到第三方系统。具体操作,请参见通过消费组消费日志

如何查看云防火墙日志存储剩余容量?

未开通云防火墙日志分析功能时,不支持查看日志存储容量。如果您已经开通了云防火墙日志分析功能,您可以通过云防火墙控制台查看日志存储的使用量和剩余容量。具体操作,请参见管理日志存储空间

image

为什么有来自阿里云的ICMP周期性探测流量日志?

云防火墙为了保证服务质量,会周期性发送ICMP报文进行探测,该类探测不是扫描攻击,不会对业务造成影响。

您可以登录云防火墙控制台,通过云服务地址簿Source address for SLA monitoring,查看云防火墙SLA服务质量探针地址。具体操作,请参见地址簿管理

为什么流量日志有应用显示为Unknown?

应用显示为Unknown,说明云防火墙未识别到流量的应用,可能存在如下原因:

  • 流量日志的收发包个数小于3个包,且未建立会话,可能是扫描流量。

  • 被四层访问控制策略拦截的流量,这种情况不会建立会话。

  • 被入侵防御拦截或其他原因导致TCP Reset流量中断,没有匹配到特征。

  • 流量为加密流量,或者流量应用类型为非标应用、内部应用、DPI不支持的应用等。

当云防火墙无法识别流量的应用或域名时,为了不影响业务,云防火墙会默认放行这些流量。如果您不希望直接放行这些流量,您可以开启对应防火墙的严格模式。具体操作,请参见访问控制引擎模式介绍配置ACL引擎模式

释放云防火墙后,日志分析数据是否会保留?

包年包月版本不保留,按量版保留。

释放云防火墙后,云防火墙的配置数据(例如访问控制策略、攻击防护策略、流量分析策略配置等)将保留7天。如果您需要保留包年包月版日志分析数据,请在释放云防火墙之前,将日志导出到本地或投递到第三方系统。具体操作,请参见导出日志

日志审计记录是否支持导出?

日志审计记录不支持直接导出,您可以在日志分析页面,通过设定查询语句,搜索及导出原始日志。

例如,您需要导出最近24小时互联网边界防火墙入方向流量,并且应用类型为HTTPS的日志,操作步骤如下:

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择日志监控 > 日志分析

  3. 日志分析页签的搜索框输入查询语句,并且设置查询时间为1天。具体操作,请参见查询及分析日志

    查询语句如下:

    log_type:internet_log and direction:"in" and app_name:"HTTPS"
  4. 导出查询结果。具体操作,请参见导出日志

如何通过日志查看云防火墙防护攻击的总次数?

您可以设置查询语句rule_result:drop和需要查询的时间,通过查询结果的日志条数来判断云防火墙拦截的攻击总次数。具体操作,请参见查询及分析日志

image

说明

因查询时间等原因,通过日志查询的防护攻击总次数与总览页面安全防护统计的防护总次数可能不一致,请以总览页面安全防护统计的防护总次数为准。

为什么云防火墙的日志总数与DDoS高防、WAF的日志总数不一致?

因为云防火墙日志记录对象是四层流量的入向和出向日志,而DDoS高防和WAF记录对象是七层HTTP请求的日志。

四层日志关注的是单独的TCP或UDP连接和单个数据包,而七层日志关注的是完整的HTTP请求和响应。一个HTTP请求或响应受网络环境等影响可能会通过多个TCP报文传输,因此在四层可能记录多条日志,而在七层只记录为一条HTTP请求或响应的日志。

此外,由于重传、网络延迟、分片及应用层协议的特性(如 HTTP Keep-Alive),四层的日志记录也会比七层的日志更为复杂和繁多。因此,在对这些不同层级的日志进行比对或分析时,考虑到它们固有的差异是非常重要的。

因此,云防火墙的日志总数与DDoS高防、WAF的日志总数不一致属于正常现象。

云防火墙引擎运维升级之后,为什么部分长连接流量日志缺失?

云防火墙引擎运维升级对于用户业务无影响。但是在引擎升级和扩缩容等运维场景下,会导致部分长链接的流量日志后续不再上报,缺少一部分流量日志数据。

您可以开通日志分析服务,在日志分析页面,选择时间范围为1分钟,设置日志“new_conn=0”进行查询,过滤出非新建连接的流量数据,这部分数据可能会丢失。该场景下,当业务重新建立连接后,会继续记录日志。

关于如何开通日志分析服务,请参见开通日志分析服务

如何查询云防火墙通过服务关联角色对其他产品执行操作的日志信息?

  1. 登录操作审计控制台

  2. 在左侧导航栏,选择事件 > 事件查询

  3. 在顶部导航栏选择您想查询事件的地域。

  4. 在筛选条件中选择操作者名称,设置为aliyunserviceroleforcloudfw,设置查询的时间范围,然后单击查询按钮图标查询相关事件。

  5. 找到待查询的事件,单击右侧操作列下的查看事件详情,可查看事件的详细信息及事件记录代码。具体操作,请参见事件查询