攻击日志

最近更新时间:2019-12-20 16:46:59

功能简介

Web 应用防火墙默认记录 Web 攻击日志信息,包括攻击产生的时间、攻击源 IP、攻击类型、攻击详情等信息。您可以根据需要按照过滤条件进行日志查询,并下载查询结果。

使用说明

查询攻击日志

  1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【攻击详情】。进入攻击日志查询页面,单击【日志查询】,在上方下拉搜索列表中选择域名,根据需要设置查询条件,单击【查询】,查看对应的攻击日志信息。

    查询条件说明:
    • 域名:在域名下拉搜索列表中,选择需要查询的域名。
    • 时间条件:默认为1个小时,最长可查询30天的攻击日志信息。
    • 风险等级:默认为全部,可选择高危、中危、低危。
    • 执行动作:默认为全部,可选观察和拦截。
    • 策略 ID:输入您需要查询的策略 ID(策略 ID 可以在日志条目中查看)。
    • 攻击源 IP:输入您要查询的攻击源 IP,进行查询。
  2. 单击攻击日志右上角的设置 按钮 ,在弹出的“自定义列表字段”弹窗中,选择需要显示的列表详细信息。如下图所示:
  3. 查看攻击详情。选择您需要查看日志条目,在右侧操作栏,单击【详情】,查看攻击详情信息。
  4. 进入日志详情页面,查看对应字段。

日志详情字段说明:

  • 基础信息
字段名称 字段说明
域名 客户端访问的域名
攻击类型 当前 Web 应用防火墙支持的攻击类型信息,默认为全部。
聚合攻击次数 相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。
攻击源 IP 客户端攻击的源 IP。
命中规则 ID 触发防护策略的规则 ID,其中 AI 引擎检出的攻击,规则 ID 为0。
命中规则名称 触发防护策略的策略名称,其中规则引擎和 AI 引擎的策略名称为空。
请求方法 客户端攻击请求方法。
风险等级 客户端攻击触发的风险等级。
攻击时间 客户端攻击触发的时间。
匹配来源 客户端攻击匹配来源信息,如来源 IP。
执行动作 客户端攻击触发的动作。
请求 URI 请求 URI 的内容。
攻击内容 客户端触发攻击的内容。
  • 攻击 IP 详情
字段名称 字段说明
地区 购买源 IP 国家英文缩写。
IP 所有者 购买源 IP 所有者信息。
国家 攻击源 IP 所属的国家名称。
省份 攻击源 IP 所属的省份信息。
城市 攻击源 IP 所属的城市信息。
运营商 攻击源 IP 所属的运营商信息。
经度 攻击源 IP 的经度信息。
纬度 攻击源 IP 的纬度信息。
  • 详情信息
字段名称 字段说明
协议版本 攻击源 IP 的 HTTP 协议版本信息。
User-Agent 攻击源 IP 向服务器用来表明自己的浏览器类型和操作系统标识等信息。

下载攻击日志

  1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web应用防火墙】>【攻击详情】,进入攻击日志查询页面,单击【日志查询】,单击右上方的下载图标,创建下载任务。

    注意:

    • 同一时间段内只允许创建一个下载任务,请耐心等待。
    • 单次最多支持下载1万条日志,如果您需要下载的日志超过1万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
    • 当选择泛域名(如*.abc.com)时,所有关联子域名(如以.abc.com结尾)的日志也将会被下载。
  2. 在上方选项卡中,单击【下载任务】,选择下载任务,在右侧操作栏中,单击【下载】,将日志文件下载到本地。

    注意:

    日志文件为 CSV 格式,使用 Excel 打开会存在攻击类型为乱码的情况,因为日志文件编码类型为 UTF-8,导致不兼容问题,请使用 WPS 或 Sublime 等编辑器打开。

    日志文件字段说明:

下载字段 字段描述
attack_time 客户端攻击事件。
rule_id 客户端攻击触发的策略 ID。
count 攻击聚合次数,相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。
status 执行动作,0表示观察,1表示拦截。
domain 客户端攻击的域名信息。
attack_ip 客户端攻击 IP。
attack_type 客户端攻击类型。
args_name 客户端请求攻击发生的位置,如请求参数、URI、IP 等。
attack_content 客户端攻击的攻击内容
uri 客户端攻击 URI 信息。
method 客户端攻击请求使用的方法。
user_agent 客户端的 User_Agent 信息。