云服务器内容精选

  • Web应用防火墙 支持记录防护日志吗? 在WAF管理控制台,您可以免费查看最近30天的防护日志、下载5天内的所有防护 域名 的防护日志数据。 如果您需要长期保存防护日志,您可以将WAF的防护日志记录到单独收费的 云日志 服务(Log Tank Service,简称LTS)上。LTS默认存储日志的时间为7天,存储时间可以在1~30天之间进行设置,超出存储时间的日志数据将会被自动删除,对于需要长期存储的日志数据(日志持久化),LTS提供转储功能,可以将日志转储至 对象存储服务 (OBS)或者 数据接入服务 (DIS)中长期保存。 有关查看防护日志的详细操作,请参见查看防护日志。 有关下载防护日志的详细操作,请参见下载防护事件数据。 有关WAF日志配置到LTS的详细操作,请参见开启全量日志。 父主题: 防护日志
  • 后续操作 访问控制日志出现异常拦截:可能是防护规则/黑名单/白名单配置有误,需检查策略配置。 攻击事件日志出现异常拦截:可能是IPS当前的防护模式拦截了您的业务。 如果是单个流量被拦截,可将被拦截的IP加入白名单。 如果是多个流量被拦截,在日志中查看是被单个规则还是多个规则阻断。 单个规则阻断:修改该规则的防护动作,请参见修改基础防御规则动作。 多个规则阻断:修改当前的防护模式,请参见调整IPS防护模式拦截网络攻击。
  • 操作须知 DDoS高防不支持下载防护日志数据。 在“概览”页面,您可以查看以下时间段的防护日志数据: DDoS攻击防护 可以查看指定高防实例和线路“24小时”、“近3天”、“近7天”、“近30天”和“自定义”的DDoS攻击防护数据,其中,“自定义”可以配置查看近90天的DDoS攻击防护数据。 CC攻击防护 可以查看防护域名“昨天”、“今天”、“近3天”、“近7天”和“近30天”的CC攻击防护数据。
  • 操作场景 业务接入DDoS高防后,您可以通过查看高防实例线路的DDoS攻击防护日志和防护域名的CC攻击防护日志,了解当前业务的网络安全状态。 在“概览”页面,您可以查看以下防护日志信息: DDoS攻击防护 可以查看高防实例线路的高防入流量峰值、攻击流量峰值和DDoS攻击次数信息,以及流量和报文两个维度的攻击类型分布、DDoS攻击事件、TOP5攻击类型流量清洗等信息。 CC攻击防护 可以查看防护域名请求与攻击次数、攻击类型分布、TOP5攻击源IP的次数等信息。
  • 为什么WAF显示的流量大小与源站上显示的不一致? WAF“安全总览”页面显示的流量大小与源站上显示的不同,主要原因说明如下: 网页压缩 WAF默认开启压缩,客户端(如浏览器)与WAF之间进行通信的网页可能被压缩(依赖浏览器压缩选项),而源站服务器可能不支持压缩。 连接复用 WAF与源站服务器之间会复用socket连接,这样会降低源站服务器与WAF之间的带宽消耗。 攻击请求 攻击请求被WAF拦截,而这种请求不会消耗源站服务器的带宽。 其他异常请求 如果源站服务器存在超时,无法连接等情况,这种情况不会消耗源站务器的带宽。 TCP层的重传等 WAF统计的带宽是7层的数据,而源站服务器网卡统计的是4层的数据。当网络通信质量差时,会出现TCP重传,网卡统计的带宽会重复计算,而7层传输的数据不会重复计算。在这种情况下,WAF上显示的带宽会低于源站上显示的带宽。 父主题: 防护日志
  • 日志字段说明 本章节介绍了DDoS高防日志包含的日志字段。 表2 实例攻击日志字段说明 字段 说明 ip 被攻击IP。 ip_id 被攻击IP的ID。 attack_type 攻击的类型。 attack_protocol 该字段尚未使用,默认是0。 attack_start_time 攻击开始时间,毫秒级时间戳。 attack_status 攻击状态。 ATTACK:攻击中。 NORMAL:攻击结束。 drop_kbits 分钟级别的最大攻击流量,单位“bit”。 attack_pkts 分钟级别的最大攻击报文数。 duration_elapse 已结束安全事件的持续时间,单位“秒”。 end_time 攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。 max_drop_kbps 攻击流量的峰值,单位“kbps”。 max_drop_pps 攻击报文的峰值,单位“pps”。 表3 实例攻击详情字段说明 字段 说明 attackStatus 攻击状态。 attackType 攻击状态。 ATTACK:攻击中。 NORMAL:攻击结束。 attackTypeDescCn 攻击类型(中文)。 attackTypeDescEn 攻击类型(英文)。 attackUnit 攻击单位。 attacker 攻击来源。 attackerKbps 攻击流量峰值,单位“kbps”。 attackerPps 攻击流量峰值,单位“pps”。 direction 日志方向。 inbound:入方向。 outbound:出方向。 dropKbits 丢弃的流量总数,单位“kbits”。 dropPackets 丢弃的报文总数。 duration 攻击持续时间,单位“秒”。 handleTime 处理日志时间。 logTime 日志时间。 logType 日志类型。 maxDropKbps IP丢弃流量峰值,单位“kbps”。 maxDropPps IP丢弃流量峰值,单位“pps”。 port 端口号。 startTimeAlert 异常开始时间。 timeScale 时间标识(处理分钟级或小时级数据的标识)。 valid 是否成功解析到日志。 writeTime 持久化时间。 zoneIP 防护IP。 startTimeAttack 攻击开始时间。 startTimeKey 对于同一个攻击不同时间的唯一标识。