启用安全日志的用户可以登录SLS控制台进行日志的查询与分析,浏览全站加速内置的统计报表,或者根据自身需求选择合适的统计图表来展示查询和分析结果,并将结果保存到仪表盘中。本文为您介绍如何在日志服务(SLS)控制台使用全站加速的安全报表。

前提条件

开通安全日志服务。开通方法,请参考申请开通安全日志
您可以通过以下内容了解和分析安全报表:

查询安全日志字段含义

当您开通安全日志后,日志会自动存储于日志服务(SLS)中,您可以通过访问日志库查询日志字段含义。

  1. 登录日志服务控制台
  2. Project列表区域,单击目标Project:secure-dcdn-rtlog-<sls region>-<uid>
    说明
    • sls region:开通时选择的SLS服务区。
    • uid:阿里云账号。
  3. 在左侧导航栏,选择日志存储 > 日志库页签,单击目标Logstore(dcdn-waf-logstore),

    全站加速已经为日志库"dcdn-waf-logstore"自动创建了字段索引和全文索引,单击字段即可查询。日志字段含义请参见安全日志字段说明

    示例一:单击字段uuid
    uuid:740059a21637832489875****

    结果说明:uuid是终端请求的唯一标识。通过访问日志库查询字段,找到指定uuid对应的原始日志。

    示例二:单击字段security_tag.final_action
    security_tag.final_action : block |
    select
      domain, count(1) as count
    group by
      domain
    order by count desc
    limit 10
    结果说明:首先通过字段查询过滤出攻击请求;然后通过SQL分析把这些请求按域名归类并作排序;最后列出遭受攻击次数最多的10个域名。
    说明 系统主动拦截的请求被视为攻击请求,即security_tag.final_action=block。

    更多SLS查询和分析功能,请参见查询和分析日志

查看安全日志报表

全站加速在日志库"dcdn-waf-logstore"下内置了一套安全报表,助您全方位了解业务风险和全站加速的防护效果。安全报表依赖SLS提供的仪表盘和统计图表功能,相关介绍参考可视化概述

  1. 登录日志服务控制台
  2. Project列表区域,单击目标Project:secure-dcdn-rtlog-<sls region>-<uid>
    说明
    • sls region:开通时选择的SLS服务区。
    • uid:阿里云账号。
  3. 在左侧导航栏,选择仪表盘 > DCDN-WAF报表页签。
  4. 单击时间选择选择您需要查询的时间段。
  5. 您可以在报表顶部选择域名返回码客户端IP执行动作,通过下拉菜单构造出不同的组合条件来过滤日志数据。内置报表会根据过滤器的筛选同步自动更新统计图表。

    报表从三个维度展示业务风险和防护信息。

    维度 图表名称 展示结果
    安全总览 流量 按5分钟粒度统计的流量,分为全部流量和攻击流量。
    带宽 按5分钟粒度统计的带宽,分为全部带宽和攻击带宽。
    请求数 按5分钟粒度统计的请求数,分为全部请求数和攻击请求数。
    攻击目标 域名 把攻击请求按域名归类,对访问次数做降序排列。
    uri 把攻击请求按URI归类,对访问次数做降序排列。
    请求方法 把攻击请求按HTTP请求方法归类,对统计次数做降序排列。
    命中规则 统计单个安全模块下命中的规则,对命中次数做降序排列。
    攻击来源 referer 把攻击请求按Referer头进行归类,表格展示Referer的分布,对统计次数做降序排列。
    UserAgent 把攻击请求按User-Agent头进行归类,表格展示UA的分布,对统计次数做降序排列。
    终端用户 把攻击请求按client_ip进行归类,对统计次数做降序排列。针对每个client_ip,给出用户所在的国家,把攻击次数按安全模块进行拆分,并统计查询时间段内的攻击流量。
    国家 把攻击请求按client所在的国家进行归类。地图展示攻击的主要来源国。

    报表结果如下图所示:

    安全总览:

    仪表盘

    攻击目标:

    仪表盘

    攻击来源:

    仪表盘

安全日志字段说明

字段名称 字段含义 默认是否创建索引
client_ip 用户真实IP。
domain 请求的域名。
method 请求方法。
refer_domain HTTP refer中domain信息。
refer_param HTTP refer中的参数信息。
refer_protocol HTTP refer中的协议。
refer_uri HTTP refer中URI信息。
request_size 请求大小。单位:字节。
response_size 请求响应的大小。单位:字节。
return_code 请求响应码。
scheme 请求协议。
security_tag 记录边缘防护信息的结构体。
说明 该字段详细说明参见下表。
unixtime 请求时间。
uri 请求资源。
uri_param 请求参数。
user_agent 用户代理信息。
uuid 请求唯一标识。
security_tag字段说明:您购买全站加速(安全版)升级了全站加速产品之后,就开启了全套的边缘安全防护。终端用户请求会经过一组安全模块的检查,日志中的security_tag字段记录了这些模块的处理结果。原理security_tag字段说明:
字段名称 字段含义
security_tag.modules 包含9个安全模块:精准访问控制、IP黑白名单、Bot管理、频次控制、海量IP封禁、UserAgent黑白名单、区域封禁、Referer黑白名单和Web应用防火墙。
说明 当前只有当WAF的action是block的时候,modules下才会展示WAF的信息。如果security_tag没记录WAF的信息,而用户判断请求可能经过了WAF,可以查询WAF的访问日志获取相关日志,WAF访问日志参见日志查询
security_tag.modules.<module_name>.rule 指定模块下被触发的规则。支持用户自定义的规则,或系统的内置规则。
security_tag.modules.<module_name>.action 模块按照触发规则对请求执行的动作。
说明 每个模块可执行的动作以及动作排序参考可执行动作
security_tag.final_action 对请求执行的最终动作。请求命中的每个模块会执行一个规定动作。模块间执行的动作可能有差异,final_action对这些动作进行排序,并记录优先级最高的动作。动作优先级排序(close>block>delay>captcha>js>observe>allow>bypass)。
说明 请求命中3个模块,它们执行的动作分别是 js,delay,allow。根据动作排序(delay>js>allow)因此final_action为delay。
security_tag.block_module 拦截请求的具体模块。当final_action为block时,这个字段才被定义,否则为空。

安全模块可执行动作:

安全模块 可执行动作
精准访问控制 block、js(限后台配置)、observe和bypass。
IP黑白名单 block。
Bot管理 allow、observe、js(限后台配置)、delay(限后台配置)和block。
频次控制 allow、block、js、captcha(限后台配置)、delay(限后台配置)和close(限后台配置)。
海量IP封禁 block。
UserAgent黑白名单 block。
区域封禁 block 和js(限后台配置)。
Referer黑白名单 block。
Web应用防火墙 block。
动作含义和优先级:close(关闭连接)>block(拦截请求)>delay(延迟回复)>captcha(滑块或其它的手动验证)>js(JavaScript自动验证)>observe(观察)>allow(放行请求)>bypass(让请求跳过指定的模块)。
说明
  • observe指放行请求并在日志里做标记。通常用来让用户评估一条新规则的防护效果。
  • allow的对象是请求本身;bypass的对象是安全模块。