本文介绍云防火墙日志分析常见问题的解决方案。
如何降低日志存储空间?
您可以通过减少日志投递时间、减少日志分类投递、定期转存至OSS存储空间四种方式降低日志存储的空间。
- 减少日志投递时间:如果不需要保留较长时间的历史日志,建议您手动减少日志存储的时长。目前,高级版和旗舰版默认的日志存储时长为180天。
- 减少日志分类投递:如果只需要关注个别分类的日志,建议您只开启必要的日志分类投递开关。目前,默认开启所有日志分类投递开关,分类如下。
- 互联网流量日志
包含攻击事件日志开关、访问控制日志开关、其他流量日志开关。
- VPC流量日志
包含攻击事件日志开关、访问控制日志开关、其他流量日志开关。
- DNS流量日志
- IPv6流量日志
- NAT流量日志
具体操作,请参见日志查询。
- 互联网流量日志
- 定期转存至OSS存储空间:如果日志较多,且都需要保留,建议您将日志转存至OSS存储空间。具体操作,请参见创建OSS投递作业(新版)。
- 清空日志:如果测试阶段日志较多,且不需要保留,建议您清空已存储的日志。具体操作,请参见清空日志存储空间。
云防火墙的流量日志是否支持导出到第三方系统?
支持。云防火墙高级版、企业版和旗舰版支持日志分析功能,并已同步阿里云日志服务(SLS)。目前云防火墙已支持互联网流量日志和VPC流量日志,您可以通过云防火墙日志分析功能导出日志,并将导出的日志文件接入到您的业务系统中,如您的安全运维中心等。
说明 互联网流量日志包括漏洞风险等级和访问控制规则命中结果等数据。
云防火墙不同版本的日志分析功能为您提供弹性的日志存储空间及扩展费用,请参见包年包月。
您可以根据实际场景,选择合适方式导出日志。
- 日志数据量小的场景
云防火墙控制台,在左侧导航栏选择,在日志分析页面日志查询页签单击
图标下载日志文件,然后上传到您的第三方系统中。 - 日志数据量大的场景
登录日志服务控制台,通过程序组编程等方式导出日志数据。
有关日志服务的操作详情,请参见通过消费组消费日志数据。
说明 如果您未开通阿里云日志服务(SLS),开通云防火墙日志分析功能时将会同时为您开通日志服务(SLS)功能。
如何查看云防火墙日志存储剩余容量?
如果您已经购买了云防火墙高级版、企业版或旗舰版,并开通了日志存储容量(即日志分析服务)。您可以在云防火墙控制台的页面的右上角,查看日志分析的存储使用量(下图中标注①)和剩余可用容量(下图中标注②)。
说明 由于云防火墙基础版和免费试用版不支持日志分析功能,控制台将不会展示日志存储容量。
为什么在云防火墙控制台看不到日志存储容量?
云防火墙基础版和免费试用版不支持日志分析功能。如果您使用的是云防火墙基础版或免费试用版,控制台将不会展示日志存储容量。如何开通云防火墙服务的日志分析功能,请参见开通日志分析服务。
为什么有来自阿里云的ICMP周期性探测流量日志?
云防火墙为了保障服务质量,会周期性发送ICMP报文进行探测,该类探测不是扫描攻击,不会对业务造成影响。
其访问源IP在云防火墙地址簿云地址簿中的Source address for SLA monitoring中可以查看到,具体日志数据可以通过访问控制中外对内SLA策略命中次数访问详细日志。
为什么流量日志有应用显示为unknown的流量?
应用显示为unknown的流量,可能存在如下原因:
- 如果流量日志的收发包个数小于3个包,且未建立会话,可能是扫描流量,则应用显示为unknown。
- 如果被四层访问控制策略拦截的流量,这种情况不会建立会话,则应用显示为unknown。
- 如果被入侵防御拦截或其他原因导致TCP Reset流量中断,没有匹配到特征时,则应用显示为unknown。
- 如果为加密流量、非标应用、内部应用、DPI不支持的应用时,则应用显示为unknown。