Topik ini menjawab beberapa pertanyaan umum terkait log di Cloud Firewall.
Bagaimana cara mengurangi penyimpanan yang digunakan oleh log?
Apakah saya dapat mengekspor log trafik Cloud Firewall ke sistem pihak ketiga?
Bagaimana cara melihat sisa kapasitas penyimpanan log Cloud Firewall?
Mengapa log trafik deteksi ICMP dikirim secara berkala oleh Cloud Firewall?
Mengapa log trafik mencatat trafik dengan tipe aplikasi Tidak Dikenal?
Apakah data analisis log tetap tersimpan setelah saya melepaskan Cloud Firewall?
Bagaimana cara melihat jumlah total serangan yang dicegat oleh Cloud Firewall dalam log?
Bagaimana cara mengurangi penyimpanan yang digunakan oleh log?
Anda dapat mengurangi penyimpanan log dengan salah satu metode berikut: memperpendek durasi penyimpanan, membatasi jenis log yang dikirim, mengirimkan log secara rutin ke Bucket Object Storage Service (OSS), atau menghapus log.
Kurangi durasi penyimpanan log
Setelah mengaktifkan fitur analisis log, log disimpan selama 180 hari secara default. Jika Anda tidak ingin menyimpan log historis dalam jangka panjang, Anda dapat memodifikasi durasi penyimpanannya. Untuk informasi lebih lanjut, lihat Ubah durasi penyimpanan log.
Batasi jenis log yang dikirim
Secara default, semua jenis log diaktifkan untuk pengiriman. Jika hanya jenis log tertentu yang perlu dikirim, aktifkan saklar pengiriman hanya untuk jenis tersebut. Untuk informasi lebih lanjut, lihat Konfigurasikan jenis log yang dikumpulkan.
Kirimkan log secara rutin ke Bucket OSS
Untuk menyimpan sejumlah besar log, kami sarankan Anda mengirimkan log ke Bucket OSS. Untuk informasi lebih lanjut, lihat Buat pekerjaan pengiriman data OSS (versi baru).
Hapus log
Jika Anda tidak perlu menyimpan log yang dihasilkan selama fase pengujian, hapus log tersebut. Untuk informasi lebih lanjut, lihat Kelola kapasitas penyimpanan log.
Apakah saya dapat mengekspor log trafik Cloud Firewall ke sistem pihak ketiga?
Ya, Anda dapat menggunakan fitur analisis log Cloud Firewall untuk mengekspor log trafik dan mengimpor log tersebut ke sistem pihak ketiga seperti pusat O&M Anda.
Pilih metode ekspor sesuai dengan kebutuhan bisnis Anda.
Ekspor sejumlah kecil data log
Gunakan fitur analisis log Cloud Firewall untuk mengunduh log ke komputer Anda dan unggah file log ke sistem pihak ketiga. Untuk informasi lebih lanjut tentang cara mengunduh log, lihat Ekspor log.
Ekspor sejumlah besar data log
Gunakan metode pemrograman atau konsol Layanan Log Sederhana untuk mengekspor data log ke sistem pihak ketiga. Untuk informasi lebih lanjut, lihat Gunakan grup konsumen untuk menggunakan log.
Bagaimana cara melihat sisa kapasitas penyimpanan log Cloud Firewall?
Jika Anda belum mengaktifkan fitur analisis log Cloud Firewall, Anda tidak dapat melihat kapasitas penyimpanan log. Jika sudah mengaktifkan fitur tersebut, Anda dapat melihat penggunaan dan sisa penyimpanan log di Konsol Cloud Firewall. Untuk informasi lebih lanjut, lihat Kelola kapasitas penyimpanan log.
Mengapa log trafik deteksi ICMP dikirim secara berkala oleh Cloud Firewall?
Untuk memastikan kualitas layanan, Cloud Firewall secara berkala mengirimkan paket Internet Control Message Protocol (ICMP) untuk mendeteksi kesalahan jaringan. Deteksi ini bukan serangan pemindaian dan tidak mempengaruhi layanan.
Masuk ke Konsol Cloud Firewall dan klik Alamat sumber untuk pemantauan SLA di tab Buku Alamat Layanan Cloud untuk melihat alamat IP sumber paket ICMP. Untuk informasi lebih lanjut, lihat Kelola buku alamat.
Mengapa log trafik mencatat trafik dengan tipe aplikasi Tidak Dikenal?
Jika Cloud Firewall tidak dapat mengidentifikasi tipe aplikasi dari trafik, tipe aplikasi tersebut dicatat sebagai Tidak Dikenal. Berikut adalah kemungkinan penyebabnya:
Jumlah total paket masuk dan keluar yang tercatat dalam log kurang dari 3, dan tidak ada sesi yang dibuat. Dalam hal ini, trafik tersebut mungkin merupakan trafik pemindaian.
Trafik diblokir oleh kebijakan kontrol akses Lapisan 4, sehingga tidak ada sesi yang dibuat.
Trafik reset TCP terputus oleh fitur pencegahan intrusi atau karena alasan lain. Dalam hal ini, karakteristik trafik tidak cocok.
Trafik dienkripsi, atau aplikasi tersebut adalah aplikasi non-standar, internal, atau tidak didukung oleh Deep Packet Inspection (DPI).
Jika Cloud Firewall tidak dapat mengidentifikasi aplikasi atau nama domain dari trafik, secara default trafik tersebut diizinkan untuk menghindari dampak pada beban kerja Anda. Jika Anda tidak ingin mengizinkan trafik tersebut, aktifkan mode ketat untuk firewall bersangkutan. Untuk informasi lebih lanjut, lihat Konfigurasikan mode mesin kontrol akses atau Konfigurasikan mode mesin kontrol akses untuk firewall NAT.
Apakah data analisis log tetap tersimpan setelah saya melepaskan Cloud Firewall?
Data analisis log tidak akan tersimpan setelah Anda melepaskan Cloud Firewall yang menggunakan metode penagihan langganan, tetapi tetap tersimpan jika menggunakan metode penagihan bayar sesuai pemakaian.
Setelah melepaskan Cloud Firewall, data konfigurasi Anda akan tetap tersimpan selama 15 hari. Data konfigurasi termasuk kebijakan kontrol akses, kebijakan pencegahan serangan, dan kebijakan analisis lalu lintas. Jika Anda ingin menyimpan data analisis log Cloud Firewall yang menggunakan metode penagihan langganan, ekspor log ke komputer Anda atau kirimkan log ke sistem pihak ketiga sebelum melepaskan Cloud Firewall. Untuk informasi lebih lanjut, lihat Ekspor log.
Apakah saya dapat langsung mengekspor catatan audit log?
Tidak, Anda tidak dapat langsung mengekspor catatan audit log. Anda dapat menentukan pernyataan kueri di halaman Log Analysis untuk menanyakan dan mengekspor log mentah.
Sebagai contoh, jika Anda ingin mengekspor log trafik masuk dari firewall internet dalam 24 jam terakhir dengan tipe aplikasi HTTPS, ikuti langkah-langkah berikut:
Masuk ke Konsol Cloud Firewall.
Di panel navigasi di sebelah kiri, pilih .
Di tab Log Analysis, masukkan pernyataan kueri di kotak pencarian dan pilih 1 Hari untuk Rentang Waktu. Untuk informasi lebih lanjut, lihat Tanyakan dan analisis log.
Pernyataan kueri:
log_type:internet_log and direction:"in" and app_name:"HTTPS"Ekspor hasil kueri. Untuk informasi lebih lanjut, lihat Ekspor log.
Bagaimana cara melihat jumlah total serangan yang dicegat oleh Cloud Firewall dalam log?
Masukkan pernyataan kueri rule_result:drop dan tentukan nilai untuk Rentang Waktu. Jumlah Log dalam hasil kueri menunjukkan jumlah total serangan yang dicegat oleh Cloud Firewall. Untuk informasi lebih lanjut, lihat Tanyakan dan analisis log.
Jumlah total serangan yang dicegat dalam hasil kueri mungkin berbeda dari nilai parameter Total Attacks Blocked di halaman Overview karena faktor seperti waktu kueri. Nilai parameter Total Attacks Blocked di halaman Overview yang berlaku.
Mengapa jumlah total log Cloud Firewall berbeda dari jumlah total log Anti-DDoS Proxy atau log WAF?
Log Cloud Firewall mencatat trafik masuk dan keluar pada Lapisan 4, sedangkan log Anti-DDoS Proxy dan Web Application Firewall (WAF) mencatat permintaan HTTP di Lapisan 7.
Log trafik di Lapisan 4 mencakup koneksi TCP atau UDP individual serta paket data individual. Sementara itu, log trafik di Lapisan 7 mencakup permintaan dan respons HTTP lengkap. Permintaan atau respons HTTP dapat ditransmisikan melalui beberapa paket TCP karena faktor-faktor seperti kondisi jaringan. Oleh karena itu, beberapa log mungkin dihasilkan untuk setiap permintaan atau respons HTTP di Lapisan 4, sedangkan hanya satu log dihasilkan untuk setiap permintaan atau respons HTTP di Lapisan 7.
Selain itu, log yang dihasilkan untuk trafik Lapisan 4 lebih kompleks dan beragam dibandingkan dengan log untuk trafik Lapisan 7 karena faktor seperti retransmisi, latensi jaringan, fragmentasi, serta fitur protokol lapisan aplikasi, seperti HTTP keepalive. Pertimbangkan perbedaan ini saat membandingkan dan menganalisis log trafik di lapisan yang berbeda.
Oleh karena itu, jumlah total log Cloud Firewall mungkin berbeda dari jumlah total log Anti-DDoS Proxy atau log WAF.
Mengapa log trafik koneksi persisten tertentu hilang setelah pemeliharaan dan peningkatan mesin Cloud Firewall?
Pemeliharaan dan peningkatan mesin Cloud Firewall tidak memengaruhi bisnis Anda. Namun, dalam skenario tertentu seperti peningkatan mesin atau penskalaan, log trafik untuk koneksi persisten tertentu mungkin tidak dilaporkan dan hilang.
Untuk menyaring log trafik yang mungkin hilang, lakukan langkah berikut: Aktifkan fitur analisis log. Buka halaman Analisis Log, atur parameter Pilih Rentang Waktu menjadi 1 Menit, lalu masukkan new_conn=0 di kotak pencarian untuk menyaring log trafik dari koneksi yang ada. Setelah koneksi dibuat ulang, sistem akan melanjutkan pencatatan log trafik.
Untuk informasi lebih lanjut, lihat Aktifkan fitur analisis log.
Bagaimana cara menanyakan peristiwa operasi yang dilakukan Cloud Firewall pada layanan lain dengan mengasumsikan peran terkait layanan?
Masuk ke Konsol ActionTrail.
Di panel navigasi di sebelah kiri, pilih .
Di bilah navigasi atas, pilih wilayah peristiwa yang ingin Anda tanyakan.
Di halaman Kueri PeristiwaDi halaman Kueri Peristiwa, pilih Operator dari daftar drop-down, masukkan aliyunserviceroleforcloudfw di kotak pencarian, tentukan rentang waktu, lalu klik ikon
.Temukan peristiwa yang ingin Anda tanyakan dan klik View Details di kolom Tindakan untuk melihat detail peristiwa dan kode peristiwa. Untuk informasi lebih lanjut, lihat Kueri peristiwa di Konsol ActionTrail.