全部产品
Search
文档中心

云防火墙:日志审计

更新时间:Nov 05, 2024

云防火墙自动记录所有流量,并通过可视化日志审计页面提供便捷的攻击事件、流量细节和操作日志查询功能,使得攻击溯源和流量审查变得简单快捷。默认情况下,您可以查询最近7天的审计日志,确保即时的安全监测和有效的事件处理。

说明

云防火墙默认存储7天的审计日志,如果需要更长时间的日志存储、满足等保要求、导出日志原始数据等,您可以开通云防火墙日志分析功能。具体操作,请参见日志分析概述

审计日志类型

云防火墙日志审计提供事件日志、流量日志和操作日志。

  • 事件日志:记录了所有被云防火墙识别为潜在安全威胁或异常行为的流量。事件日志详细描述了攻击事件的时间、威胁类型、源IP、目的IP、应用类型、严重性等级以及动作状态等关键信息,有助于您追踪和分析安全事件。

    针对虚拟补丁和基础防御拦截的事件日志,您可以在事件日志列表,单击获取攻击样本,生成7天内的攻击样本,通过攻击样本查看攻击事件的详细数据。生成的攻击样本可保留1个月。

  • 流量日志:记录了通过云防火墙的所有正常网络流量的细节,包括但不限于源和目的IP、端口号、传输协议以及流量大小等。流量日志对于理解网络使用模式和进行网络行为分析具有重要价值。

  • 操作日志:记录了用户对云防火墙控制台的所有操作行为,如规则配置更改、系统设置调整或任何管理员干预措施。操作日志有助于审计用户行为,并确保对系统更改负责。

查询审计日志

以下内容以查询流量日志为例,介绍如何使用日志审计。不同日志类型的查询字段不同,请以实际页面展示为准。

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择日志监控 > 日志审计

  3. 单击流量日志页签,选择需要查询日志的防火墙类型。

  4. 设置查询条件和查询时间,然后单击搜索

流量日志核心字段说明

以下介绍部分流量日志字段,帮助您更好地了解流量特征和行为的详细信息。

说明

查询流量日志时,您可以在搜索栏右侧单击列表配置,选择需要在流量日志列表展示的日志字段。除了必选的日志字段外,您最多可以选择8个可选的日志字段。

字段名称

含义及说明

规则名/规则ID

流量命中的访问控制策略或攻击防护规则名称。

如果不显示规则名,表示当前流量未命中任何一条访问控制策略或者攻击防护规则。

ACL预匹配状态

当流量经过云防火墙时,云防火墙会按优先级将访问控制策略和流量进行匹配,如果在某条匹配的访问控制策略匹配中,云防火墙无法识别流量的应用或域名,则ACL预匹配状态显示为对应的未识别状态,并且ACL预匹配策略显示为该访问控制策略名称。ACL预匹配状态取值:

  • 应用未识别:云防火墙无法识别流量的应用。

  • 域名未识别:云防火墙无法识别流量的域名。

  • 正常:云防火墙可以识别流量的应用和域名。

ACL预匹配策略

应用识别状态

访问控制策略匹配中,流量应用的识别状态。取值:

  • 识别成功

  • 已被策略拦截

  • TCP建立失败

  • 尚未收到载荷

  • 分析中

  • 严格模式下识别失败

  • 宽松模式下未识别出结果

  • 无状态:无深度包检测DPI(deep packet inspection)的状态

相关文档