本文为您介绍如何使用攻击日志进行攻击日志索引、快速分析和查询。
背景信息
Web 应用防火墙默认提供攻击日志功能,详细记录攻击产生的时间、攻击源 IP、攻击类型及攻击详情等信息。攻击日志仅支持查询或导出最近30天日志。攻击日志支持全文检索、模糊搜索和组合条件搜索等检索方式,同时支持根据检索条件下载日志,支持百万级日志下载。
检索攻击日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择攻击日志 > 日志服务。
2. 在日志服务页面,您可以根据需要,选择实例、域名、攻击类型、执行动作、风险等级及时间维度等信息,筛选查看攻击日志。
字段名称 | 字段说明 |
实例 | 支持多选,默认显示全部实例。 |
域名 | 支持多选,默认显示全部域名。 |
攻击类型 | 支持多选,默认为全部攻击类型,攻击类型包括各个安全模块产生的观察和拦截日志。 |
执行动作 | 单选,默认为全部执行动作,包括观察、重定向、人机识别、拦截四种类型。 |
风险等级 | 单选,默认为全部风险等级,包括高危、中危和低危三种类型。 |
时间范围 | 默认为近一小时,支持筛选最近时间及相对时间。 |
自动刷新 | 定时自动刷新当前页面,默认为关闭;若开启开关,您可选择按照时间范围刷新当前页面,获取最新攻击日志数据。 |
3. 设置完成检索条件,单击检索分析,即可查看检索分析结果。
分析攻击日志
1. 在攻击日志数据列表右上方,单击
,可设置列表展示字段;选择完成后,单击确定,即可设置成功。各字段说明,请参见 日志详情字段说明。
2. 在攻击日志原始数据页面左侧,单击具体统计字段,可快速查看符合检索条件下,各个字段值在攻击日志中的占比。单击字段值,可快速筛选包含该字段值的所有攻击日志。
3. 在攻击日志数据列表中,单击
可展开单条日志详情。单击日志详情中的字段值,可快速筛选包含该字段值的所有攻击日志。单击 JSON,可查看对应 JSON 格式展示样式。
攻击处置
1. 在攻击日志数据列表中,支持单击操作列中的误报修正、源 IP 封禁,快速添加处置规则。
误报修正:支持一键添加对应防护模块的精准白名单规则,不再拦截对应 IP 访问,完成修改后,单击确定。
源 IP 封禁:支持一键添加 IP 黑名单,拦截对应 IP 的访问,完成修改后,单击确定。
2. 展开攻击日志数据列表详情,支持单击 attack_type 字段中的规则管理,支持快速查看并修改命中的防护规则。
说明:
当前支持快速查看自定义策略(访问控制规则、BOT规则)、信息防泄漏、网页防篡改、CC 策略拦截四种攻击类型的规则。
下载攻击日志
1. 在攻击日志数据列表右上方,单击
,侧边栏展开下载任务页面。说明
默认下载当前检索的日志范围。
同一时间段内只允许创建一个下载任务,请耐心等待。
单次最多支持下载100万条日志,如果您需要下载的日志超过100万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
当选择泛域名(如
*.abc.com
)时,所有关联子域名(如以.abc.com
结尾)的日志也将会被下载。2. 在下载任务页面,单击创建任务。
3. 在创建下载任务弹窗内输入任意任务名称,单击创建后即可下载。
4. 创建任务后,在下载任务页面,可以查看创建日志文件的日志总数、下载进度、创建时间、过期时间和下载状态信息。单击下载,即可下载 csv 格式的日志文件。
说明:
创建成功的日志下载任务,保留3天,超过3天之后日志文件将会删除,请及时下载。
附录
日志详情字段说明
字段名称 | 字段说明 |
host | 客户端访问的域名信息。 |
uri | 请求 URI :用于标识请求资源的字符串。 |
attack_ip | 攻击源 IP:客户端攻击的源 IP。 |
attack_type | 攻击类型:攻击具体命中的攻击类型。 |
rule_id | 规则 ID:触发防护策略的规则 ID,其中 AI 引擎检测出的攻击详情的规则 ID 为0。 |
scene_id | 场景 ID:触发防护策略的场景 ID。 |
scene_module | 场景模块:触发防护策略的场景模块,包括前端对抗(jsinject)、自定义规则(ucb)、智能分析(autoanalyze)。 |
method | 请求方法:客户端攻击请求方法。 |
user_agent | User-Agent:攻击源 IP 向服务器表明的浏览器类型和操作系统标识等信息。 |
risk_level | 风险等级:客户端攻击触发的风险等级,包括高危(1)、中危(2)、低危(3)三种风险等级。 |
status | 执行状态:攻击请求的处置结果,包括观察(0)、拦截(1)、人机识别(2)、重定向(3)四种处理结果。 |
count | 聚合攻击次数,相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。 |
domain | 客户端攻击的域名信息。 |
pan | 接入域名或 CLB 对象信息。 |
prote_domain | 接入域名或 CLB 对象信息。 |
domain_name | 客户端访问的域名信息。 |
attack_time | 攻击时间,客户端攻击触发的时间。 |
attack_place | 攻击位置,攻击方式在 HTTP 请求中的位置。 |
action | 执行动作,客户端攻击触发的处置动作,包括观察(0)、拦截(1)、人机识别(2)、重定向(3)四种处理结果。 |
ipinfo_nation | 攻击 IP 所属国家名称。 |
ipinfo_province | 攻击 IP 所属省份信息。 |
ipinfo_city | 攻击 IP 所属城市。 |
ipinfo_state | 攻击 IP 所属国家信息,国家英文缩写。 |
ipinfo_dimensionality | 攻击 IP 所属纬度信息。 |
instance | 域名接入的 Web 应用防火墙实例名称。 |
attack_category | 攻击一级分类,暂未提供。 |
edition | 域名接入的 Web 应用防火墙实例类型:分为 sparta-waf(SaaS 型 WAF)和 clb-waf(负载均衡型 WAF)。 |
uuid | 日志唯一标识。 |
attack_content | 攻击内容:客户端触发攻击的内容。 |
http_log | 记录 HTTP 请求和响应信息的日志文件:包含此次 http 请求的所有 http 信息。 说明: 超长自动截断,以实际记录大小为准。 |
headers | 协议头部信息:包括自定义头部信息。 |
rule_name | 规则名称,暂未提供。 |
args_name | 参数名称:HTTP 请求中的参数名 |
ipinfo_isp | 攻击 IP 运营信息。 |
appid | 用户腾讯云账号的 APPID。 |
ipinfo_longitude | 攻击 IP 的经度信息。 |
is_white | 是否为情报白名单地址。 |
sec_chain | 请求经过的安全模块及对应执行动作。 |