Cloud Firewall：日誌常見問題

• 如何減少日誌分析儲存容量？

• Cloud Firewall的流量日誌是否支援匯出到第三方系統？

• 如何查看Cloud Firewall日誌儲存剩餘容量？

• 為什麼有來自阿里雲的ICMP周期性探測流量日誌？

• 為什麼流量日誌有應用顯示為Unknown？

• 釋放Cloud Firewall後，日誌分析資料是否會保留？

• 日誌審計記錄是否支援匯出？

• 如何通過日誌查看Cloud Firewall防護攻擊的總次數？

• Cloud Firewall引擎營運升級之後，為什麼部分長串連流量日誌缺失？

• 為什麼Cloud Firewall的日誌總數與DDoS高防、WAF的日誌總數不一致？

如何減少日誌分析儲存容量？

您可以通過減少日誌儲存時間長度、減少日誌分類投遞、定期轉存至OSS儲存空間、清空日誌儲存空間等方式降低日誌儲存的空間。

• 減少日誌儲存時間長度

  開通日誌分析後，日誌預設儲存時間長度為180天。如果您確認業務不需要保留較長時間的歷史日誌，您可以手動修改日誌儲存的時間長度。具體操作，請參見修改日誌儲存時間長度。

• 減少日誌投遞分類

  Cloud Firewall預設開啟所有日誌類型的投遞開關，如果只需要關注個別分類的日誌，建議您只開啟必要的日誌分類投遞開關。具體操作，請參見設定日誌採集類型。

• 定期轉存至OSS儲存空間

  如果日誌較多，且都需要保留，建議您將日誌轉存至OSS儲存空間。具體操作，請參見建立OSS投遞任務（新版）。

• 清空日誌

  如果測試階段日誌較多，且不需要保留，建議您清空已儲存的日誌。具體操作，請參見管理日誌儲存空間。

Cloud Firewall的流量日誌是否支援匯出到第三方系統？

支援。您可以通過Cloud Firewall日誌分析功能匯出日誌，將匯出的記錄檔接入到第三方業務系統，如安全營運中心等。

您可以根據實際情境，選擇合適方式匯出日誌。

• 日誌資料量小的情境

  您可以通過Cloud Firewall日誌分析提供的日誌下載功能，將日誌下載到本地，然後上傳到第三方系統。下載日誌的具體操作，請參見匯出日誌。

• 日誌資料量大的情境

  您可以通過Log Service控制台，通過程式組編程等方式，將日誌資料匯出到第三方系統。具體操作，請參見通過消費組消費日誌。

如何查看Cloud Firewall日誌儲存剩餘容量？

未開通Cloud Firewall日誌分析功能時，不支援查看日誌儲存容量。如果您已經開通了Cloud Firewall日誌分析功能，您可以通過Cloud Firewall控制台查看日誌儲存的使用量和剩餘容量。具體操作，請參見管理日誌儲存空間。

為什麼有來自阿里雲的ICMP周期性探測流量日誌？

Cloud Firewall為了保證服務品質，會周期性發送ICMP報文進行探測，該類探測不是掃描攻擊，不會對業務造成影響。

您可以登入Cloud Firewall控制台，通過雲端服務地址簿Source address for SLA monitoring，查看Cloud FirewallSLA服務品質探針地址。具體操作，請參見地址簿管理。

為什麼流量日誌有應用顯示為Unknown？

應用顯示為Unknown，說明Cloud Firewall未識別到流量的應用，可能存在如下原因：

• 流量日誌的收發包個數小於3個包，且未建立會話，可能是掃描流量。

• 被四層存取控制策略攔截的流量，這種情況不會建立會話。

• 被入侵防禦攔截或其他原因導致TCP Reset流量中斷，沒有匹配到特徵。

• 流量為加密流量，或者流量應用類型為非標應用、內部應用、DPI不支援的應用等。

當Cloud Firewall無法識別流量的應用或網域名稱時，為了不影響業務，Cloud Firewall會預設允許存取這些流量。如果您不希望直接允許存取這些流量，您可以開啟對應防火牆的strict 模式。具體操作，請參見存取控制引擎模式介紹或配置ACL引擎模式。

釋放Cloud Firewall後，日誌分析資料是否會保留？

訂用帳戶版本不保留，按量版保留。

釋放Cloud Firewall後，Cloud Firewall的配置資料（例如存取控制策略、攻擊防護策略、流量分析策略配置等）將保留15天。如果您需要保留訂用帳戶版日誌分析資料，請在釋放Cloud Firewall之前，將日誌匯出到本地或投遞到第三方系統。具體操作，請參見匯出日誌。

日誌審計記錄是否支援匯出？

日誌審計記錄不支援直接匯出，您可以在日志分析頁面，通過設定查詢語句，搜尋及匯出原始日誌。

例如，您需要匯出最近24小時互連網邊界防火牆入方向流量，並且應用類型為HTTPS的日誌，操作步驟如下：

1. 登入Cloud Firewall控制台。

2. 在左側導覽列，選擇日志监控 > 日誌分析

3. 在日志分析頁簽的搜尋方塊輸入查詢語句，並且設定查詢時間為1天。具體操作，請參見查詢及分析日誌。

   查詢語句如下：

   log_type:internet_log and direction:"in" and app_name:"HTTPS"

4. 匯出查詢結果。具體操作，請參見匯出日誌。

如何通過日誌查看Cloud Firewall防護攻擊的總次數？

您可以設定查詢語句rule_result:drop和需要查詢的時間，通過查詢結果的日誌條數來判斷Cloud Firewall攔截的攻擊總次數。具體操作，請參見查詢及分析日誌。

為什麼Cloud Firewall的日誌總數與DDoS高防、WAF的日誌總數不一致？

因為Cloud Firewall日誌記錄對象是四層流量的入向和出向日誌，而DDoS高防和WAF記錄對象是七層HTTP請求的日誌。

四層日誌關注的是單獨的TCP或UDP串連和單個資料包，而七層日誌關注的是完整的HTTP請求和響應。一個HTTP請求或響應受網路環境等影響可能會通過多個TCP報文傳輸，因此在四層可能記錄多條日誌，而在七層只記錄為一條HTTP請求或響應的日誌。

此外，由於重傳、網路延遲、分區及應用程式層協議的特性（如 HTTP Keep-Alive），四層的日誌記錄也會比七層的日誌更為複雜和繁多。因此，在對這些不同層級的日誌進行比對或分析時，考慮到它們固有的差異是非常重要的。

因此，Cloud Firewall的日誌總數與DDoS高防、WAF的日誌總數不一致屬於正常現象。

Cloud Firewall引擎營運升級之後，為什麼部分長串連流量日誌缺失？

Cloud Firewall引擎營運升級對於使用者業務無影響。但是在引擎升級和擴縮容等營運情境下，會導致部分長連結的流量日誌後續不再上報，缺少一部分流量日誌資料。

您可以開通日誌分析服務，在日誌分析頁面，選擇時間範圍為1分鐘，設定日誌“new_conn=0”進行查詢，過濾出非建立串連的流量資料，這部分資料可能會丟失。該情境下，當業務重建立立串連後，會繼續記錄日誌。

關於如何開通日誌分析服務，請參見開通日誌分析服務。

如何查詢Cloud Firewall通過服務關聯角色對其他產品執行操作的日誌資訊？

1. 登入Action Trail控制台。

2. 在左側導覽列，選擇事件 > 事件查詢。

3. 在頂部導覽列選擇您想查詢事件的地區。

4. 在篩選條件中選擇操作者名稱，設定為aliyunserviceroleforcloudfw，設定查詢的時間範圍，然後單擊表徵圖查詢相關事件。

5. 找到待查詢的事件，單擊右側操作列下的查看事件詳情，可查看事件的詳細資料及事件記錄代碼。具體操作，請參見事件查詢。