攻击日志
更新时间:2024-04-30 14:33:54
非凡安全平台会记录所有检测到的非法流量。通过攻击日志页面,您可以:
- 过滤来自特定客户端(如用户IP)的日志并查看命中所有策略的详细信息,分析拦截原因。
- 查询一段时间的日志,初步分析安全策略检测结果是否符合预期。
- 分析攻击意图和攻击特征,评估对业务的影响以决定是否调整安全策略。
进入攻击日志页面:
- 登录控制台,在已开通产品下,找到正在使用的安全产品并点击进入。
- 前往 安全运营>攻击日志。
1. 使用过滤器查询日志
- 选定时间段和域名。
- 点击
,选择一个字段、一个运算符和值。例如,要按客户端IP过滤日志,请选择客户端IP,选择等于运算符,然后输入IP地址,如有多个值请用 ; 分隔。还可以设置禁用或移除已输入的查询条件,当您将鼠标悬停在某个查询字段上时,会出现这些按钮。 - 点击 查询。
提示:同一个查询字段的多个值之间的关系为“或”,多个查询字段之间的关系为“且”。例如,添加查询条件 客户端IP 等于 127.0.0.1 和 状态码 等于 403;404,将查询满足客户端IP地址为127.0.0.1且状态码为403或403的数据。
1.1 支持的运算符
- 等于:搜索字段与任一指定值相等的数据。
- 不等于:搜索字段与任一指定值不相等的数据。
- 包含:搜索字段中包含指定字符串的数据。
- 不包含:搜索字段中不包含指定字符串的数据。
1.2 字段说明
下表列出了攻击日志所支持的字段。部分字段允许填入多个值,这些值之间以英文分号分隔。除非特别指出,否则默认情况下不支持填写多个值。
| 字段分类 | 字段 | 描述 | 示例 |
|---|---|---|---|
| 通用 | 策略类型 | 请求命中的策略类型 | IP/区域封禁、WAF、频率限制、自定义规则 |
| 处理动作 | 客户端请求命中的规则或策略配置的执行动作。 | ||
| 客户端IP | 发起请求的客户端IP地址。 | 127.0.0.1;127.0.0.2 | |
| IP地理位置 | 客户端IP的归属地。 | ||
| 路径 | 请求的相对路径,不包含域名和请求参数。
|
/common/readme.php | |
| URI | 请求的绝对路径,不包含域名。
|
/common/readme.php?uid=212&tpye=content | |
| 请求ID | 每个请求的唯一标识符。 | 65683d6e_houdianxin216_8348-10235 | |
| 事件ID | 当请求触发规则后,为该事件生成的唯一标识符。 | b9c8775c731701330286135790ac | |
| User-Agent | 客户端请求头部的User-Agent字段。
|
PostmanRuntime/7.28.1 | |
| Referer | 客户端请求头部的Referer字段。
|
http://example.com | |
| 请求方法 | 客户端请求的请求方法。 | GET、HEAD、POST、PUT、DELETE、COPY、OPTIONS、Others(前7种以外的请求方法都归类为Others)。 | |
| HTTP版本 | 客户端请求的HTTP版本。 | HTTP/0.9、HTTP/1.0,HTTP/1.1,HTTP/2,HTTP/3。 | |
| API名称 | 自定义的API的名称。 | ||
| 状态码 | 响应给客户端的HTTP状态码。 | ||
| IP/区域封禁 | 策略名称 | IP/区域封禁安全策略下的子功能名称。 | IP封禁、区域封禁 |
| WAF | 规则类型 | 客户端请求命中的WAF规则的规则类型。 | |
| 规则ID | 命中规则的ID。
|
||
| 规则名称 | 命中规则的名称。 | ||
| 自定义规则 | 规则名称 | 命中规则的名称。 | |
| 规则ID | 命中规则的ID。
|
||
| 频率限制 | 规则名称 | 命中规则的名称。 | |
| 规则ID | 命中规则的ID。
|
2. 查看查询结果
查阅查询结果时,您将看到经过过滤器处理后的总日志命中数,系统会展示离查询结束时间最近的10,000条日志。假如需要查看更多的日志,建议你导出csv文件进行查阅,每次最多能导出10,000条日志。
展开日志,你可以看到以下信息:
- 策略信息:展示请求触发的安全策略和规则等信息,帮助您了解请求为何被检测出来。
- 通用信息:展示请求的基本信息,如请求ID、事件ID、请求方法、路径等信息。
- 原始请求信息:展示原始请求的头部信息。
- 客户端信息:展示客户端的IP、IP的地理位置。