• Web應用防火墻支持記錄防護日志嗎？
• 如何獲取攔截的數據？
• 防護事件列表中，防護動作為“不匹配”是什么意思呢？
• Web應用防火墻的防護日志可以存儲多久？
• Web應用防火墻可以同時查詢多個指定IP的防護事件嗎？
• Web應用防火墻會記錄未攔截的事件嗎？
• 為什么WAF顯示的流量大小與源站上顯示的不一致？

Web應用防火墻支持記錄防護日志嗎？

在WAF管理控制臺，您可以免費查看最近30天的防護日志、下載5天內的所有防護域名的防護日志數據。

如果您需要長期保存防護日志，您可以將WAF的防護日志記錄到單獨收費的云日志服務（Log Tank Service，簡稱LTS）上。LTS默認存儲日志的時間為7天，存儲時間可以在1～30天之間進行設置，超出存儲時間的日志數據將會被自動刪除，對于需要長期存儲的日志數據（日志持久化），LTS提供轉儲功能，可以將日志轉儲至對象存儲服務（OBS）或者數據接入服務（DIS）中長期保存。

有關WAF日志配置到LTS的詳細操作，請參見開啟全量日志。

如何獲取攔截的數據？

通過Web應用防火墻服務可下載5天內的所有防護域名的僅記錄和攔截的攻擊事件數據，當天的防護事件數據，在次日凌晨生成防護事件數據的CSV文件。

可參照下載防護事件數據獲取攔截數據。

防護事件列表中，防護動作為“不匹配”是什么意思呢？

配置網頁防篡改、防敏感信息泄露、隱私屏蔽防護規則后，如果訪問請求命中這些防護規則，則防護日志中記錄的防護事件，“防護動作”顯示為“不匹配”。

Web應用防火墻的防護日志可以存儲多久？

在WAF管理控制臺，您可以免費查看最近30天的防護日志、下載5天內的所有防護域名的防護日志數據。

您可以將WAF的防護日志記錄到單獨收費的云日志服務（Log Tank Service，簡稱LTS），LTS默認存儲日志的時間為7天，存儲時間可以在1～30天之間進行設置，超出存儲時間的日志數據將會被自動刪除，對于需要長期存儲的日志數據（日志持久化），LTS提供轉儲功能，可以將日志轉儲至對象存儲服務（OBS）或者數據接入服務（DIS）中長期保存。

Web應用防火墻可以同時查詢多個指定IP的防護事件嗎？

WAF不支持同時查詢多個指定IP的防護事件。您可以在“防護事件”頁面，通過“事件類型”、“防護動作”、“源IP”、“URL”、“事件ID”組合條件，查看防護域名相應的防護事件。

Web應用防火墻會記錄未攔截的事件嗎？

WAF根據配置的防護規則攔截攻擊事件，并將攔截或者僅記錄攻擊的事件記錄在防護日志中，不會記錄未攔截的事件。

為什么WAF顯示的流量大小與源站上顯示的不一致？

WAF“安全總覽”頁面顯示的流量大小與源站上顯示的不同，主要原因說明如下：

• 網頁壓縮

  WAF默認開啟壓縮，客戶端（如瀏覽器）與WAF之間進行通信的網頁可能被壓縮（依賴瀏覽器壓縮選項），而源站服務器可能不支持壓縮。

• 連接復用

  WAF與源站服務器之間會復用socket連接，這樣會降低源站服務器與WAF之間的帶寬消耗。

• 攻擊請求

  攻擊請求被WAF攔截，而這種請求不會消耗源站服務器的帶寬。

• 其他異常請求

  如果源站服務器存在超時，無法連接等情況，這種情況不會消耗源站務器的帶寬。

• TCP層的重傳等

  WAF統計的帶寬是7層的數據，而源站服務器網卡統計的是4層的數據。當網絡通信質量差時，會出現TCP重傳，網卡統計的帶寬會重復計算，而7層傳輸的數據不會重復計算。在這種情況下，WAF上顯示的帶寬會低于源站上顯示的帶寬。