文档

日志常见问题

更新时间:

本文介绍云防火墙日志常见问题的解决方案。

为什么云防火墙的日志总数与DDoS高防、WAF的日志总数不一致?

因为云防火墙日志记录对象是四层流量的入向和出向日志,而DDoS高防和WAF记录对象是七层HTTP请求的日志。

四层日志关注的是单独的TCP或UDP连接和单个数据包,而七层日志关注的是完整的HTTP请求和响应。一个HTTP请求或响应受网络环境等影响可能会通过多个TCP报文传输,因此在四层可能记录多条日志,而在七层只记录为一条HTTP请求或响应的日志。

此外,由于重传、网络延迟、分片及应用层协议的特性(如 HTTP Keep-Alive),四层的日志记录也会比七层的日志更为复杂和繁多。因此,在对这些不同层级的日志进行比对或分析时,考虑到它们固有的差异是非常重要的。

因此,云防火墙的日志总数与DDoS高防、WAF的日志总数不一致属于正常现象。

如何减少日志分析存储容量?

您可以通过减少日志存储时长、减少日志分类投递、定期转存至OSS存储空间、清空日志存储空间等方式降低日志存储的空间。

  • 减少日志存储时长

    开通日志分析后,日志默认存储时长为180天。如果您确认业务不需要保留较长时间的历史日志,您可以手动修改日志存储的时长。具体操作,请参见修改日志存储时长

  • 减少日志投递分类

    云防火墙默认开启所有日志类型的投递开关,如果只需要关注个别分类的日志,建议您只开启必要的日志分类投递开关。具体操作,请参见设置日志采集类型

  • 定期转存至OSS存储空间

    如果日志较多,且都需要保留,建议您将日志转存至OSS存储空间。具体操作,请参见创建OSS投递任务(新版)

  • 清空日志

    如果测试阶段日志较多,且不需要保留,建议您清空已存储的日志。具体操作,请参见管理日志存储空间

云防火墙的流量日志是否支持导出到第三方系统?

支持。您可以通过云防火墙日志分析功能导出日志,将导出的日志文件接入到第三方业务系统,如安全运维中心等。

您可以根据实际场景,选择合适方式导出日志。

  • 日志数据量小的场景

    您可以通过云防火墙日志分析提供的日志下载功能,将日志下载到本地,然后上传到第三方系统。下载日志的具体操作,请参见导出日志

  • 日志数据量大的场景

    您可以通过日志服务控制台,通过程序组编程等方式,将日志数据导出到第三方系统。具体操作,请参见通过消费组消费数据

如何查看云防火墙日志存储剩余容量?

未开通云防火墙日志分析功能时,不支持查看日志存储容量。如果您已经开通了云防火墙日志分析功能,您可以通过云防火墙控制台查看日志存储的使用量和剩余容量。具体操作,请参见管理日志存储空间

image

为什么有来自阿里云的ICMP周期性探测流量日志?

云防火墙为了保证服务质量,会周期性发送ICMP报文进行探测,该类探测不是扫描攻击,不会对业务造成影响。

您可以登录云防火墙控制台,通过云服务地址簿Source address for SLA monitoring,查看云防火墙SLA服务质量探针地址。具体操作,请参见地址簿管理

为什么流量日志有应用显示为Unknown?

应用显示为Unknown,说明云防火墙未识别到流量的应用,可能存在如下原因:

  • 流量日志的收发包个数小于3个包,且未建立会话,可能是扫描流量。

  • 被四层访问控制策略拦截的流量,这种情况不会建立会话。

  • 被入侵防御拦截或其他原因导致TCP Reset流量中断,没有匹配到特征。

  • 流量为加密流量,或者流量应用类型为非标应用、内部应用、DPI不支持的应用等。

当云防火墙无法识别流量的应用或域名时,为了不影响业务,云防火墙会默认放行这些流量。如果您不希望直接放行这些流量,您可以开启对应防火墙的严格模式。具体操作,请参见互联网边界防火墙-严格模式配置ACL引擎模式

释放云防火墙后,日志分析数据是否会保留?

包年包月版本不保留,按量版保留。

释放云防火墙后,云防火墙的配置数据(例如访问控制策略、攻击防护策略、流量分析策略配置等)将保留7天。如果您需要保留包年包月版日志分析数据,请在释放云防火墙之前,将日志导出到本地或投递到第三方系统。具体操作,请参见导出日志

日志审计记录是否支持导出?

日志审计记录不支持直接导出,您可以在日志分析页面,通过设定查询语句,搜索及导出原始日志。

例如,您需要导出最近24小时互联网边界防火墙入方向流量,并且应用类型为HTTPS的日志,操作步骤如下:

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择日志监控 > 日志分析

  3. 日志分析页签的搜索框输入查询语句,并且设置查询时间为1天。具体操作,请参见查询及分析日志

    查询语句如下:

    log_type:internet_log and direction:"in" and app_name:"HTTPS"
  4. 导出查询结果。具体操作,请参见导出日志

如何通过日志查看云防火墙防护攻击的总次数?

您可以设置查询语句rule_result:drop和需要查询的时间,通过查询结果的日志条数来判断云防火墙拦截的攻击总次数。具体操作,请参见查询及分析日志

image

说明

因查询时间等原因,通过日志查询的防护攻击总次数与总览页面安全防护统计的防护总次数可能不一致,请以总览页面安全防护统计的防护总次数为准。