云WAF將攻擊防護的事件詳情記錄在事件報表中，用戶可在事件列表中查看攻擊時間、攻擊IP、攻擊類型、攻擊URL、地理位置、處置動作、命中規則ID、攻擊詳情等。具體功能如下：

• 支持查看所選時間范圍內的防護事件，查詢時間支持選擇昨天、今天、近3天、近7天、近30天或自定義時間。

• 提供防護事件多級查詢，篩選條件包括域名、攻擊類型、攻擊IP、防護模塊、處置動作、規則ID、請求UUID等。

• 支持將列表數據下載到本地。

前提條件

• 已開通Web應用防火墻（原生版）實例。

• 已完成網站域名接入并正常防護。

查詢防護事件

1. 登錄天翼云控制中心。

2. 單擊頁面頂部的區域選擇框，選擇區域。

3. 在產品服務列表頁，選擇“安全 > Web應用防火墻（原生版）”。

4. 在左側導航欄，選擇“防護事件 > 查詢防護事件”，進入防護事件頁面。

5. 在防護事件列表上方，可以設置篩選條件，支持設置多項匹配條件。

   

   查詢條件字段參數說明：

   參數名稱	參數說明
   防護對象	選擇想要查看的防護對象，支持選擇各防護模式下的所有防護對象或某個防護對象。
   時間選擇	可查看“昨天”、“今天”、“近3天”、“近7天”、“近30天”或者自定義時間范圍內的防護日志。
   攻擊類型	發生的攻擊類型。默認為全部攻擊類型，也可以根據需要，選擇攻擊類型查看攻擊日志信息。
   攻擊IP	Web訪問者的公網IP地址，默認為全部，也可以根據需要輸入攻擊者IP地址查看攻擊日志信息。
   防護模塊	按防護模塊進行篩選。
   處置動作	防護配置中設置的防護動作，包含：觀察、攔截、放行、驗證碼、JS驗證、重定向、重置連接、全部脫敏、動態攔截、限速。
   規則ID	攻擊觸發的防護規則ID。
   UUID關鍵字	請求對應的唯一標識。

6. 篩選條件設置完成后，點擊“查詢”，篩選后的結果將在列表中展示，可通過右側的“事件列表顯示設置”按鈕對攻擊事件的字段進行自定義展示。

   說明

   • CC攻擊事件頁簽分別展示CC攻擊事件數和CC攻擊次數，例如：頁簽顯示CC攻擊事件（1/3），實際含義為出現總計1次CC攻擊事件數，一共有3次CC攻擊。

   • 事件顯示字段支持自定義設置和重新排序，同時可以控制是否在新標簽頁中查看攻擊事件詳情。

   

查看防護事件詳情

單擊防護事件列表操作列的“查看詳情”，進入事件詳情頁面，查看完整日志。

攻擊日志字段說明：

IP一鍵加白/黑

可以對攻擊源IP進行加白、加黑處理。

單擊防護事件列表操作列的“IP一鍵加白/黑”，在彈出的對話框中選擇IP黑白名單規則。若規則名稱下拉列表無可選項，可以單擊“新建規則”，配置規則名稱和過期時間，新建一個規則。

誤報消除

若對正常網站請求造成誤攔截，可以通過誤報消除自動添加規則白名單，讓滿足條件的請求不經過指定規則的檢測。建議您結合實際業務需求，確保放行的都是預期的訪問請求。

1. 單擊防護事件操作列的“誤報消除”。

   

2. 會自動將觸發該規則的源IP及相關URL等字段自動生成白名單。該白名單僅針對所選規則，不影響其他模塊檢測。

   

3. 配置規則名稱、規則描述、過期時間。

4. 單擊“確定”，完成操作。

下載防護事件數據

1. 單擊篩選條件框中的“下載”，可以將查詢出的防護事件列表下載到本地。

2. 在彈出的對話框中選擇需要導出的日志類型。

   

3. 選擇完成后，單擊“確定”后會生成一個事件導出任務，可在“事件下載”頁面對執行導出后的數據報告進行下載。

4. 在左側導航欄選擇“防護事件 > 事件下載”進入事件下載頁面。

5. 根據任務名稱選擇需要下載的事件，單擊操作列的“下載”即可下載。