日志查詢為您提供7天的日志記錄。

• 攻擊事件日志：查看檢測到的危險流量的危險等級、受影響的端口、命中的規則、攻擊事件類型等信息。

• 訪問控制日志：查看根據訪問控制策略放行或阻斷的所有流量，以便更好的調整訪問控制策略。

• 流量日志：查看通過的所有流量記錄。

日志支持篩選、刷新、導出、顯示/隱藏列的方式，助您使用。

前提條件

• 開啟彈性公網IP防護。

• 配置入侵防御策略。

攻擊事件日志

1. 登錄天翼云控制中心。

2. 在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3. 在左側導航樹中，選擇“日志審計”，進入“攻擊事件日志”頁面。

4. 查看近一周的攻擊事件詳情。

   參數	說明
   發生時間	攻擊事件發生的時間。
   攻擊類型	攻擊事件所屬類型，主要包括：IMAP、DNS、FTP、HTTP、POP3、TCP、UDP等。
   危險等級	危險等級包括：嚴重、高、中、低。
   規則ID	對應規則的ID號。
   規則名稱	規則庫中相對應的命中規則名稱。
   源IP	攻擊事件的來源IP。 源IP為WAF回源IP時，“源IP”會展示WAF回源IP和RealIP，其中RealIP展示X-Forwarded-For對應的第一個IP，即客戶端的真實IP。
   標簽	IP類型標識。 其它標簽：非WAF回源IP，無需特別處理。 WAF回源IP：“源IP”是WAF回源IP，如果本條記錄的“響應動作”是阻斷、阻斷IP、丟棄，需手動設置放行。 操作方式：根據“規則ID”在IPS規則庫中，在該規則的“操作”列，選擇“觀察”。
   源國家/地區	攻擊事件源IP所屬的地理位置。
   源端口	攻擊事件的源端口。
   目的IP	攻擊事件中受到攻擊的IP地址。
   目的國家/地區	攻擊事件目的IP所屬的地理位置。
   目的端口	攻擊事件的目的端口。
   協議	攻擊事件的協議類型。
   應用	攻擊事件的應用類型。
   方向	包括兩個方向：出方向、入方向。
   響應動作	防火墻的動作。 放行 阻斷 阻斷IP 丟棄
   操作	操作：查看攻擊事件的“基本信息”和“攻擊payload”。

訪問控制日志

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航樹中，選擇“日志審計”。

4.選擇“訪問控制日志”頁簽，可查看近一周的訪問控制情況。若需要修改指定IP訪問控制的響應動作，請參照添加防護規則或添加黑/白名單。

“訪問控制日志”的參數說明：

流量日志

1.登錄天翼云控制中心。

2.在左側導航樹中，單擊左上方的“服務列表”，選擇“安全 > 云防火墻”，進入云防火墻的概覽頁面。

3.在左側導航樹中，選擇“日志審計”。

4.選擇“流量日志”頁簽，可查看近一周的流量字節數和報文數。

“流量日志”的參數說明：

相關操作

導出日志：單擊右上角的，導出列表中的日志記錄。

后續操作

• 訪問控制日志出現異常攔截：可能是防護規則/黑名單/白名單配置有誤，需檢查策略配置。

• 攻擊事件日志出現異常攔截：可能是IPS當前的防護模式攔截了您的業務。

• 如果是單個流量被攔截，可將被攔截的IP加入白名單。

• 如果是多個流量被攔截，在日志中查看是被單個規則還是多個規則阻斷。

  • 單個規則阻斷：修改該規則的防護動作，請參見“修改基礎防御規則動作”。

  • 多個規則阻斷：修改當前的防護模式，請參見“調整IPS防護模式攔截網絡攻擊”。