日志审计

更新时间: 2023-12-05 13:50:27

通过云防火墙的所有流量会记录在日志审计页面,包括流量日志、事件日志和操作日志,帮助您实时审计您的网络流量,确认是否存在可疑流量。

云防火墙还提供日志分析功能,可自定义存储时长7~365天的日志数据。如果您有等保合规的需求,建议开通日志分析服务。关于日志分析的费用说明,请参见日志分析计费方式

事件日志

事件日志包括经过互联网边界防火墙和VPC边界防火墙的流量相关的事件日志。您可以单击互联网边界防火墙VPC边界防火墙页签,查看相应事件的日志详情,包括事件的时间、威胁类型、源IP和目的IP、应用类型、严重性等级以及动作状态等信息。

您可在事件日志列表上方,输入源IP、目的IP、类型、动作或自定义时间范围等信息,检索您需要查看的日志。

说明

设置自定义时间范围表示查询该时间范围内的事件日志,只支持查询距离当前时间7天以内的数据。

流量日志

流量日志包括经过互联网边界防火墙、VPC边界防火墙、DNS防火墙、NAT防火墙流量的日志记录。您可以单击互联网边界防火墙VPC边界防火墙DNS防火墙页签,查看相应流量日志详情,包括访问流量的开始时间、结束时间、源IP、目的端口、支持的协议、动作状态、流字节数、流报文数等信息。

互联网边界防火墙VPC边界防火墙页签,单击搜索栏右侧的列表配置,在列表配置对话框,选择需要在列表中显示的列,单击确定。最多只支持8个。

您可在流量日志列表,选择IPv4或者IPv6,并输入源IP目的IP策略ID应用或自定义时间范围等信息,搜索流量日志。

说明

设置自定义时间范围表示查询该时间范围内的流量日志,只支持查询距离当前时间7天以内的数据。

互联网边界防火墙VPC边界防火墙页签,单击搜索栏右侧的展开高级搜索,通过方向规则来源端口地域等高级搜索条件,精确定位您的筛选范围。

说明

如果流量命中了访问控制策略或防护配置策略,流量日志规则名一栏会展示已命中的策略的名称;未匹配中策略的流量规则名一栏则为空。

操作日志

操作日志记录云防火墙中的所有操作执行的时间、操作类型、严重性以及具体操作信息。

您可在操作日志列表,输入严重性日志内容、自定义时间范围,筛选对应的操作记录。

说明

设置自定义时间范围表示查询该时间范围内的操作日志,只支持查询距离当前时间6个月以内的数据。

日志核心字段说明表

当您当前互联网边界、VPC边界、NAT防火墙流量日志增加如下字段,帮助您定位unknown应用未识别的流量问题。

字段名称

含义及说明

规则名

匹配成功的访问控制策略及攻击防护规则名称。

如果规则名不显示,则表示当前流量未匹配任何一条访问控制策略或者攻击防护规则。

ACL预匹配状态

即ACL预匹配策略的状态,分别包含:正常应用未识别域名未识别

ACL预匹配策略

对于包含应用和域名的策略,云防火墙会根据流量为您识别源IP、目的IP、端口进行预匹配。如果只是应用或者域名未被识别,则该条策略标记为ACL预匹配策略。

应用识别状态

应用识别的状态。取值:

  • 识别成功

  • 已被策略拦截

  • TCP建立失败

  • 尚未收到载荷

  • 分析中

  • 严格模式下识别失败

  • 宽松模式下未识别出结果

  • 无状态:无深度包检测DPI(deep packet inspection)的状态

阿里云首页 云防火墙 相关技术圈