攻击日志
更新时间:2024-01-08 11:25:59
网宿云安全平台会记录所有检测到的非法流量。通过攻击日志页面,您可以:
- 过滤来自特定客户端(如用户IP)的日志并查看命中所有策略的详细信息,分析拦截原因。
- 查询一段时间的日志,初步分析安全策略检测结果是否符合预期。
- 分析攻击意图和攻击特征,评估对业务的影响以决定是否调整安全策略。
进入攻击日志页面:
- 登录网宿控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
- 前往 安全运营>攻击日志。
1. 使用过滤器查询日志
- 选定时间段和域名。
- 点击
,选择一个字段、一个运算符和值。例如,要按客户端IP过滤日志,请选择客户端IP,选择等于运算符,然后输入IP地址,如有多个值请用 ; 分隔。还可以设置禁用或移除已输入的查询条件,当您将鼠标悬停在某个查询字段上时,会出现这些按钮。 - 点击 查询。
提示:同一个查询字段的多个值之间的关系为“或”,多个查询字段之间的关系为“且”。例如,添加查询条件 客户端IP 等于 127.0.0.1 和 状态码 等于 403;404,将查询满足客户端IP地址为127.0.0.1且状态码为403或403的数据。
1.1 支持的运算符
- 等于:搜索字段与任一指定值相等的数据。
- 不等于:搜索字段与任一指定值不相等的数据。
- 包含:搜索字段中包含指定字符串的数据。
- 不包含:搜索字段中不包含指定字符串的数据。
1.2 字段说明
下表列出了攻击日志所支持的字段。部分字段允许填入多个值,这些值之间以英文分号分隔。除非特别指出,否则默认情况下不支持填写多个值。
| 字段分类 | 字段 | 描述 | 示例 |
|---|---|---|---|
| 通用 | 策略类型 | 请求命中的策略类型 | IP/区域封禁、DDoS防护、WAF、Bot管理、API防护、协同情报、频率限制、自定义规则 |
| 处理动作 | 客户端请求命中的规则或策略配置的执行动作。 | ||
| 客户端IP | 发起请求的客户端IP地址。 | 127.0.0.1;127.0.0.2 | |
| IP地理位置 | 客户端IP的归属地。 | ||
| 路径 | 请求的相对路径,不包含域名和请求参数。
|
/common/readme.php | |
| URI | 请求的绝对路径,不包含域名。
|
/common/readme.php?uid=212&tpye=content | |
| 请求ID | 每个请求的唯一标识符。 | 65683d6e_houdianxin216_8348-10235 | |
| 事件ID | 当请求触发规则后,为该事件生成的唯一标识符。 | b9c8775c731701330286135790ac | |
| User-Agent | 客户端请求头部的User-Agent字段。
|
PostmanRuntime/7.28.1 | |
| Referer | 客户端请求头部的Referer字段。
|
http://example.com | |
| 请求方法 | 客户端请求的请求方法。 | GET、HEAD、POST、PUT、DELETE、COPY、OPTIONS、Others(前7种以外的请求方法都归类为Others)。 | |
| HTTP版本 | 客户端请求的HTTP版本。 | HTTP/0.9、HTTP/1.0,HTTP/1.1,HTTP/2,HTTP/3。 | |
| API名称 | 自定义的API的名称。 | ||
| 状态码 | 响应给客户端的HTTP状态码。 | ||
| IP/区域封禁 | 策略名称 | IP/区域封禁安全策略下的子功能名称。 | IP封禁、区域封禁 |
| DDoS防护 | 策略名称 | DDoS防护安全策略下的子功能名称。 | 内置规则、AI智能防护。 |
| 规则ID | 命中规则的ID。
|
||
| WAF | 规则类型 | 客户端请求命中的WAF规则的规则类型。 | |
| 规则ID | 命中规则的ID。
|
||
| 规则名称 | 命中规则的名称。 | ||
| Bot管理 | 策略名称 | Bot管理安全策略下的子功能名称。 | |
| Bot分类 | 阻断客户端请求的Bot分类。 | 搜索引擎 | |
| Bot标签 | 阻断客户端请求的Bot标签。 | 百度蜘蛛 | |
| 规则名称 | 命中规则的名称。 | ||
| 用户指纹 | Web风险检测功能为客户端请求分配的用户指纹。
|
||
| 浏览器指纹 | Web风险检测功能为客户端请求分配的浏览器指纹。
|
||
| 设备指纹 | APP风险检测功能为客户端请求分配的设备指纹。
|
||
| 自定义规则 | 规则名称 | 命中规则的名称。 | |
| 规则ID | 命中规则的ID。
|
||
| 频率限制 | 规则名称 | 命中规则的名称。 | |
| 规则ID | 命中规则的ID。
|
||
| 威胁情报 | 情报类型 | 客户端请求所匹配的威胁情报的类型。 |
2. 查看查询结果
查阅查询结果时,你将看到经过过滤器处理后的总日志命中数,系统会展示离查询结束时间最近的10,000条日志。假如需要查看更多的日志,建议你导出csv文件进行查阅,每次最多能导出10,000条日志。
展开日志,你可以看到以下信息:
- 策略信息:展示请求触发的安全策略和规则等信息,帮助你了解请求为何被检测出来。
- 通用信息:展示请求的基本信息,如请求ID、事件ID、请求方法、路径等信息。
- 原始请求信息:展示原始请求的头部信息。
- 客户端信息:展示客户端的IP、IP的地理位置,以及由全站防护为辅助安全检测而为客户端终端生成的唯一身份标识信息,如设备指纹、浏览器指纹等。
本篇文档内容对您是否有帮助?
有帮助
我要反馈