Cloud Firewall自動記錄所有流量,並通過可視化日誌審計頁面提供便捷的攻擊事件、流量細節和動作記錄查詢功能,使得攻擊溯源和流量審查變得簡單快捷。預設情況下,您可以查詢最近7天的審計日誌,確保即時的安全監測和有效事件處理。
Cloud Firewall預設儲存7天的審計日誌,如果需要更長時間的日誌儲存、滿足等保要求、匯出日誌未經處理資料等,您可以開通Cloud Firewall日誌分析功能。具體操作,請參見日誌分析概述。
審計日誌類型
Cloud Firewall日誌審計提供事件記錄、流量日誌和動作記錄。
事件記錄:記錄了所有被Cloud Firewall識別為潛在安全威脅或異常行為的流量。事件記錄詳細描述了攻擊事件的時間、威脅類型、源IP、目的IP、應用類型、嚴重性等級以及動作狀態等關鍵資訊,有助於您追蹤和分析安全事件。
針對虛擬補丁和基礎防禦攔截的事件記錄,您可以在事件記錄列表,單擊獲取攻擊樣本,產生7天內的攻擊樣本,通過攻擊樣本查看攻擊事件的詳細資料。產生的攻擊樣本可保留1個月。
流量日誌:記錄了通過Cloud Firewall的所有正常網路流量的細節,包括但不限於源和目的IP、連接埠號碼、傳輸協議以及流量大小等。流量日誌對於理解網路使用模式和進行網路行為分析具有重要價值。
動作記錄:記錄了使用者對Cloud Firewall控制台的所有操作行為,如規則配置更改、系統設定調整或任何管理員幹預措施。動作記錄有助於審計使用者行為,並確保對系統更改負責。
查詢審計日誌
以下內容以查詢流量日誌為例,介紹如何使用日誌審計。不同日誌類型的查詢欄位不同,請以實際頁面展示為準。
在左側導覽列,選擇
單擊流量日誌頁簽,選擇需要查詢日誌的防火牆類型。
設定查詢條件和查詢時間,然後單擊搜尋。
流量日誌核心欄位說明
以下介紹部分流量日誌欄位,協助您更好地瞭解流量特徵和行為的詳細資料。
查詢流量日誌時,您可以在搜尋欄右側單擊清單配置,選擇需要在流量日誌列表展示的日誌欄位。除了必選的日誌欄位外,您最多可以選擇8個可選的日誌欄位。
欄位名稱 | 含義及說明 |
規則名/規則ID | 流量命中的存取控制策略或攻擊防護規則名稱。 如果不顯示規則名,表示當前流量未命中任何一條存取控制策略或者攻擊防護規則。 |
ACL预匹配状态 | 當流量經過Cloud Firewall時,Cloud Firewall會按優先順序將存取控制策略和流量進行匹配,如果在某條匹配的存取控制策略匹配中,Cloud Firewall無法識別流量的應用或網域名稱,則ACL预匹配状态顯示為對應的未識別狀態,並且ACL预匹配策略顯示為該存取控制策略名稱稱。ACL预匹配状态取值:
|
ACL预匹配策略 | |
应用识别状态 | 存取控制策略匹配中,流量應用的識別狀態。取值:
|