日志配置
使用云防火墙日志前,可在通用设置进行配置。
注意:
1. 登录 云防火墙控制台,在左侧导航中,单击通用设置。
2. 在通用设置页面,选择日志存储设置,支持设置如下内容:
日志存储类型:单击点击修改,根据实际情况选择存储类型,单击确定保存。
说明:
实际支持的存储类型以您在控制台的显示为准。
日志类型 | 日志详情 |
访问控制日志 | 互联网边界规则 NAT 边界规则 内网间规则 企业安全组 DNS 规则 |
零信任防护日志 | 远程运维登录 Web 服务访问 数据库访问 |
入侵防御日志 | 威胁情报 基础防御 虚拟补丁 封禁列表 安全基线 网络蜜罐 |
流量日志 | 互联网边界防火墙 NAT 边界防火墙 VPC 间防火墙 内网流量日志 DNS 防火墙 |
日志存储时长:单击编辑,修改日志存储时长,单击确认。
日志清空次数
:单击手动清空,经过二次确认后,即可清空日志。注意:
当前操作会删除所有日志,部分统计和报表数据将被丢弃,操作不可恢复,请谨慎操作;整个操作预计耗时10分钟左右,操作期间日志将停止写入。
查询日志
在使用日志分析功能查询日志时,您可以进行以下操作:
查询原地址为114.67.120.184,端口为22的日志:
src_ip:114.67.120.184 AND src_port:22。查询原地址为114.67.120.184,端口不为22的日志:
src_ip:114.67.120.184 NOT src_port:22。查询时间在1月11日22点~13点之间,资产上的告警:dst_ip:112.56.189.6,左上角筛选时间为22点。
导出日志
用户可根据自己需求选择对应的日志模块将日志下载导出,支持将日志导出并下载到本地,或者导出到用户自有的COS。
注意:
导出至 COS 可能会产生一定存储费用和下载费用,详情参考 费用说明。
零信任防护日志暂不支持导出远程运维登录日志和 Web 服务访问日志。
不支持筛选结果后导出,云防火墙日志仅支持单次离线导出;如需导出筛选后的日志结果,请使用 云安全中心的日志分析功能。
同一时间仅能执行一个下载任务,多个下载任务将按照创建时间依次执行。
1. 登录 云防火墙控制台,在左侧导航中,单击日志审计 > 访问控制日志。
2. 在互联网边界规则页面,选择所需规则,单击
下载日志:选择数据格式、压缩方法等参数,单击确定。
说明:
当前每月日志导出下载至本地的日志免费配额为1GB,单次导出最多支持100w条,日志下载文件有效期为3天。
导出到 COS:选择存储桶,保存时间等参数,单击确定。
日志投递
前提条件
需已购买 腾讯云消息队列 Ckafka 实例 和 云防火墙日志分析,按照云防火墙带宽来配置Ckafka 实例的带宽规格。
根据 消息队列 Ckafka 文档 指引,联系腾讯云客服开通公网域名接入或支撑环境接入白名单。
根据 创建实例文档 指引,创建一个 Ckafka 实例。
仅支持使用一个消息队列 Ckafka 账号进行日志投递。
操作步骤
1. 登录 消息队列 CKafka 版控制台,在左侧导航中,单击实例列表。
2. 在实例列表页面,单击所需 Ckafka 实例名。
3. 在实例详情页面,单击 topic 管理 > 新建。
4. 在新建 Topic 窗口中,配置相关参数,单击提交。更多详情请参见 创建 Topic。
5. 在基本信息页面的接入方式中,单击添加路由策略,添加公网域名接入或支撑环境接入。更多详情请参见 添加路由策略。
说明:
6. 在 ACL 策略管理页面,单击用户管理 > 新建,填写用户名和密码信息,单击提交。更多详情请参见 配置 ACL 策略。
7. 在 日志分析页面,单击日志投递,选择网络接入方式、Topic ID/名称,单击确定。
说明:
日志投递功能支持多种云防火墙日志类型的投递,不同类型的日志需要投递到不同的 Ckafka topic 中。每个 Ckafka topic 只能被一个云防火墙日志类型所绑定。
8. 投递完成后,可前往 消息队列 Ckafka-消息查询 查看日志是否投递成功。
日志规格与超量
日志存储空间容量占满后将无法写入日志,当您的日志存储容量达到上限后将不再进行写入,请您提前升级扩容或备份日志数据后清空日志,避免新的日志数据无法写入。
如需升级扩容日志容量,可以选择按量计费和包年包月两种模式:
包年包月 | 按量计费 |
0.5元/GB/月,存储时间与版本购买时间相同。 | 1000GB至6120GB区间0.036元/GB/天,超过6120GB以上部分0.025元/GB/天。 |
