查询防护事件

防护事件统计图表展示指定防护域名、实例、时间范围内容防护事件趋势图、TOP10统计信息。

图1 统计图表

1. 设置查询条件。
   • 防护域名（图1①）：支持查看全部防护域名、指定一个或多个防护域名的安全统计信息。
   • 实例（图1②）：支持查看全部实例、指定实例的安全统计信息。
   • 查询时间（图1③）：支持查看昨天、今天、3天、7天、30天或自定义30天任意时间段的安全统计信息。

2. 查看统计图表信息。

   功能模块	说明	相关操作
   防护事件趋势图（图1④）	展示所选网站在选择的时间段内WAF的防护情况。	--
   TOP10统计（图1⑤）	展示所选时间段的攻击事件、受攻击对象、攻击源IP、受攻击URL的TOP 10网站进行统计。	单击“TOP攻击事件”、“TOP受攻击对象”、“TOP攻击源IP”、“TOP受攻击URL”后的，可复制统计图表的数据。 单击“TOP受攻击对象”、“TOP攻击源IP”、“TOP受攻击URL”区域对应的域名、源IP、URL后，可在防护事件列表自动添加对应筛选条件，快速定位事件详情。

控制台最多可以查看10,000条防护事件日志，如果想要查询更多日志，请调整时间间隔或者将日志转储到LTS进行查看。

图2 防护事件列表

1. 根据筛选条件字段匹配值设置多项匹配条件（图2①）。完成后，匹配条件会展示在事件列表的上方，条件字段参数说明如表1所示。

   表1 支持筛选搜索的条件字段

   参数名称	参数说明
   源IP	Web访问者的公网IP地址（攻击者IP地址）。 默认选择“全部”，查看所有的日志信息，也可以根据需要，选择或者自定义攻击者IP地址查看攻击日志信息。
   host	被攻击的防护域名。
   规则ID	内置Web基础防护规则ID。
   URL	攻击的防护域名的URL。
   事件类型	发生攻击的类型。 默认选择“全部”，查看所有攻击类型的日志信息，也可以根据需要，选择攻击类型查看攻击日志信息。
   防护动作	防护配置中设置的防护动作，包含：拦截、仅记录、人机验证、不匹配等。 人机验证：CC防护规则中，“防护动作”支持配置“人机验证”。即当访问的请求频率超过设定的“限速频率”后将弹出验证码提示，输入正确的验证码，请求将不受访问限制。 不匹配：配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中这些防护规则，则防护日志中记录的防护事件，“防护动作”显示为“不匹配”。
   状态码	拦截页面返回的HTTP状态码。
   事件ID	标识该防护事件的ID。

2. 单击防护事件列表右上角的（图2②），设置防护事件列表展示字段，字段参数说明表2所示。

   表2 防护事件列表可展示字段参数说明

   参数	说明	示例
   时间	本次攻击发生的时间。	2021/02/04 13:20:04
   源IP	Web访问者的公网IP地址（攻击者IP地址）。 单击“源IP”列的，可对事件列表进行升序或降序重新排序。	-
   host	被攻击的防护域名。	www.example.com
   地理位置	攻击者来源IP所在地区。	-
   规则ID	内置Web基础防护规则ID。	-
   URL	攻击的防护域名的URL。	/admin
   事件类型	发生攻击的类型。	SQL注入攻击
   应用组件	被攻击的应用组件。	pgAdmin4
   防护动作	防护配置中设置的防护动作，包含：拦截、仅记录、人机验证等。 说明： 配置网页防篡改、防敏感信息泄露、隐私屏蔽防护规则后，如果访问请求命中防护规则，则防护动作显示为“不匹配”。	拦截
   状态码	拦截页面返回的HTTP状态码。	418
   恶意负载	本次攻击对防护域名造成伤害的位置、组成部分或访问URL的次数。 说明： 对于CC攻击事件，恶意负载表示当时访问URL的次数。 对于黑名单防护事件，恶意负载为空。	id=1 and 1='1
   企业项目	网站所在的企业项目。 单击“企业项目”列的，可对事件列表进行升序或降序重新排序。	default

   完成以上配置后，您可以在防护事件列表，查看符合条件的防护事件，如图2所示。

3. 单击目标事件“操作”列的“详情”（图2③），查看目标域名攻击事件详情，包括事件概览、恶意负载、请求详情、响应详情。
   

   您需要提交工单，开通响应详情功能并配置日志记录响应体字节长度后，WAF才会在展示响应详情，并记录不超过字节长度的响应体信息。