云防火墙自动记录所有流量,并通过可视化日志审计页面提供便捷的攻击事件、流量细节和操作日志查询功能,使得攻击溯源和流量审查变得简单快捷。默认情况下,您可以查询最近7天的审计日志,确保即时的安全监测和有效的事件处理。
云防火墙默认存储7天的审计日志,如果需要更长时间的日志存储、满足等保要求、导出日志原始数据等,您可以开通云防火墙日志分析功能。具体操作,请参见日志分析概述。
审计日志类型
云防火墙日志审计提供事件日志、流量日志和操作日志。
事件日志:记录了所有被云防火墙识别为潜在安全威胁或异常行为的流量。事件日志详细描述了攻击事件的时间、威胁类型、源IP、目的IP、应用类型、严重性等级以及动作状态等关键信息,有助于您追踪和分析安全事件。
针对虚拟补丁和基础防御拦截的事件日志,您可以在事件日志列表,单击获取攻击样本,生成7天内的攻击样本,通过攻击样本查看攻击事件的详细数据。生成的攻击样本可保留1个月。
流量日志:记录了通过云防火墙的所有正常网络流量的细节,包括但不限于源和目的IP、端口号、传输协议以及流量大小等。流量日志对于理解网络使用模式和进行网络行为分析具有重要价值。
操作日志:记录了用户对云防火墙控制台的所有操作行为,如规则配置更改、系统设置调整或任何管理员干预措施。操作日志有助于审计用户行为,并确保对系统更改负责。
查询审计日志
以下内容以查询流量日志为例,介绍如何使用日志审计。不同日志类型的查询字段不同,请以实际页面展示为准。
登录云防火墙控制台。
在左侧导航栏,选择
单击流量日志页签,选择需要查询日志的防火墙类型。
设置查询条件和查询时间,然后单击搜索。
流量日志核心字段说明
以下介绍部分流量日志字段,帮助您更好地了解流量特征和行为的详细信息。
查询流量日志时,您可以在搜索栏右侧单击列表配置,选择需要在流量日志列表展示的日志字段。除了必选的日志字段外,您最多可以选择8个可选的日志字段。
字段名称 | 含义及说明 |
规则名/规则ID | 流量命中的访问控制策略或攻击防护规则名称。 如果不显示规则名,表示当前流量未命中任何一条访问控制策略或者攻击防护规则。 |
ACL预匹配状态 | 当流量经过云防火墙时,云防火墙会按优先级将访问控制策略和流量进行匹配,如果在某条匹配的访问控制策略匹配中,云防火墙无法识别流量的应用或域名,则ACL预匹配状态显示为对应的未识别状态,并且ACL预匹配策略显示为该访问控制策略名称。ACL预匹配状态取值:
|
ACL预匹配策略 | |
应用识别状态 | 访问控制策略匹配中,流量应用的识别状态。取值:
|