WAF培訓(xùn)資料9-日志報(bào)表.ppt

日志報(bào)表 唐進(jìn)元tangjya 章節(jié)目標(biāo) 日志查看 日志配置 報(bào)表查看 報(bào)表配置 日志報(bào)表功能概述 日志模塊 實(shí)時(shí)記錄和存儲系統(tǒng)運(yùn)行過程中產(chǎn)生的各類日志 主要分為系統(tǒng)日志 訪問日志 事件日志和防護(hù)日志四類 供系統(tǒng)管理員進(jìn)行查看分析 系統(tǒng)管理員亦可執(zhí)行日志配置 導(dǎo)出日志 清空日志等操作對日志模塊進(jìn)行配置管理 報(bào)表模塊 系統(tǒng)對日志模塊生產(chǎn)的日志進(jìn)行自動(dòng)統(tǒng)計(jì)分析 生成不同類型的統(tǒng)計(jì)報(bào)表 如按時(shí)段統(tǒng)計(jì) 按服務(wù)統(tǒng)計(jì) 按攻擊統(tǒng)計(jì)等 系統(tǒng)管理員通過查看統(tǒng)計(jì)報(bào)表可以掌握當(dāng)前系統(tǒng)運(yùn)行的主要概況 亦可根據(jù)需求導(dǎo)出統(tǒng)計(jì)報(bào)表供后續(xù)查看 1 前述 登錄DCWAF系統(tǒng)后 通過選擇左側(cè)導(dǎo)航欄中 日志 導(dǎo)航欄進(jìn)入日志查看功能 如圖1所示 日志類型分為系統(tǒng)日志 訪問日志 事件日志 防護(hù)日志四類 當(dāng)前共包含有系統(tǒng)日志 服務(wù)訪問日志 認(rèn)證日志 服務(wù)監(jiān)控日志 告警日志 WEB防護(hù)日志 防篡改日志 漏洞掃描日志 DDoS防護(hù)日志9種不同類型的日志 圖1日志查看 日志查看 2 界面說明 日志查看 圖2日志查看界面 2 界面說明 日志查看 日志篩選區(qū) 可以在本區(qū)設(shè)定篩選條件查看符合條件的日志 翻頁控制區(qū) 對當(dāng)前顯示的日志進(jìn)行翻頁查看控制 條目信息區(qū) 顯示當(dāng)前篩選條件下日志總條目以及展示在日志內(nèi)容區(qū)內(nèi)的日志條目范圍 列顯示控制區(qū) 顯示日志屬性列 并可對各屬性列進(jìn)行顯示與隱藏控制 日志內(nèi)容區(qū) 顯示詳細(xì)日志內(nèi)容 3 操作 對日志查看的操作主要有 日志篩選 翻頁 顯示列控制 日志查看 日志篩選 點(diǎn)擊查看某類日志時(shí)系統(tǒng)默認(rèn)按 時(shí)間 顯示當(dāng)天產(chǎn)生的所有日志 可以通過添加篩選條件更具體地控制日志的顯示 如圖3所示 圖3日志篩選顯示控制 3 操作 通過點(diǎn)擊加號按鈕添加篩選條件 點(diǎn)擊減號按鈕移除添加的篩選條件 系統(tǒng)默認(rèn)已經(jīng)使用 時(shí)間 條件篩選 不能移除本條件 新增加的每個(gè)篩選條件由 條件項(xiàng) 篩選方式 條件內(nèi)容 構(gòu)成 條件項(xiàng)來自于構(gòu)成日志的屬性列 不同日志屬性列不同 篩選方式有等于 不等于 匹配 不匹配 條件內(nèi)容由用戶輸入 英文字母大小寫敏感 新增加的多個(gè)條件間使用AND或OR組合 即與和或 可通過點(diǎn)擊AND或OR按鈕進(jìn)行兩者間切換 其中AND優(yōu)先級大于OR 這些條件組合完畢后再與 時(shí)間 條件進(jìn)行AND組合 例如圖3的多個(gè)條件組合后為 時(shí)間 AND 服務(wù)名稱AND方法 OR策略名稱 日志查看 3 操作 日志翻頁控制 可以通過點(diǎn)擊翻頁控制區(qū)內(nèi)的 首頁 上一頁 下一頁 和 尾頁 控制跳轉(zhuǎn)至不同頁 或手動(dòng)輸入頁碼后按回車鍵跳轉(zhuǎn)至該頁 如果存儲的日志已經(jīng)有變化 可以點(diǎn)擊刷新按鈕刷新日志顯示 顯示列控制 每條日志由多個(gè)不同的屬性列構(gòu)成 如系統(tǒng)日志 包含的屬性列有 時(shí)間 登錄IP 用戶 事件 摘要 日志級別 狀態(tài) 可以配置每個(gè)屬性列顯示與否和排序方式 操作方法 鼠標(biāo)移至顯示列控制欄上某一屬性列名稱上 右側(cè)會出現(xiàn)一向下箭頭按鈕 點(diǎn)擊該按鈕彈出控制菜單 即可進(jìn)行顯示控制 如下頁圖4所示 日志查看 3 操作 日志查看 圖4日志顯示列控制 1 前述 在 配置 導(dǎo)航欄中選擇 日志配置 項(xiàng)即可進(jìn)入日志配置功能頁面 如圖5所示 日志配置 圖5日志配置導(dǎo)航 日志配置用于配置日志的保存方式 保存類型 保存時(shí)長 清空 導(dǎo)出 遠(yuǎn)程日志服務(wù)器等 從界面上可分為基本配置 日志導(dǎo)出 日志清空和日志服務(wù)器四個(gè)方面配置 2 基本配置 日志配置的基本配置界面如右圖6所示 日志配置 圖6日志基本配置界面圖 2 基本配置 基本配置包含以下參數(shù) 存儲空間 顯示當(dāng)前記錄日志設(shè)備的空間使用率 總大小以及空閑大小 模式選擇 包含三種模式 磁盤記錄 內(nèi)存記錄 不記錄 磁盤記錄是將日志記錄在磁盤 內(nèi)存記錄是將日志記錄在內(nèi)存 不記錄則是不記錄所有防護(hù)日志 默認(rèn)是內(nèi)存記錄模式 最大占用率 指定日志記錄設(shè)備 硬盤或內(nèi)存 最大占用率 超過上限時(shí) 指定記錄日志設(shè)備占用超過設(shè)備占用配置值時(shí)如何處理 有重寫最早日志和不記錄兩種處理方式 保存天數(shù) 指定各日志類型保存日志的天數(shù) 默認(rèn)為15天 是否記錄 指定各類型日志是否被記錄 當(dāng)且僅當(dāng)記錄模式選擇為 磁盤記錄 或 內(nèi)存記錄 時(shí) 該配置項(xiàng)有效 日志配置 3 日志導(dǎo)出 日志導(dǎo)出界面如右圖7所示 日志配置 圖7日志導(dǎo)出界面 3 日志導(dǎo)出 日志導(dǎo)出包含自動(dòng)導(dǎo)出和手動(dòng)導(dǎo)出兩種方式 自動(dòng)導(dǎo)出 通過FTP方式自動(dòng)導(dǎo)出所選的日志類型 手動(dòng)導(dǎo)出 手動(dòng)導(dǎo)出分為手動(dòng)下載和FTP導(dǎo)出兩種方式 手動(dòng)下載 下載所選擇的日志并保存到本地 FTP導(dǎo)出 通過FTP方式導(dǎo)出所選擇的日志到FTP服務(wù)器 日志配置 4 日志清空 日志清空用于清空選定類型的日志 保存的日志天數(shù) 顯示各日志類型當(dāng)前保存的日志天數(shù) 該天數(shù)是指某類型日志保存最早日期的日志距離當(dāng)前的時(shí)間 大小 顯示各日志類型當(dāng)前保存的日志占用空間大小 日志配置 圖8日志清空界面 5 日志服務(wù)器配置 通過配置日志服務(wù)器 可以把DCWAF系統(tǒng)產(chǎn)生的日志統(tǒng)一發(fā)送至遠(yuǎn)端服務(wù)器 方便用戶對日志信息進(jìn)行集中管理與分析 配置日志服務(wù)器前需要先搭建日志服務(wù)器 所需的安裝套件已隨DCWAF系統(tǒng)發(fā)布 具體使用請參考相關(guān)部分 遠(yuǎn)端日志服務(wù)器搭建完畢后 在DCWAF系統(tǒng)日志服務(wù)器配置中點(diǎn)擊 添加 按鈕彈出添加日志服務(wù)器頁面 日志配置 圖8日志清空界面 5 日志服務(wù)器配置 服務(wù)器IP輸入遠(yuǎn)端日志服務(wù)器的IP地址 端口和協(xié)議類型與遠(yuǎn)端日志服務(wù)器配置的接收日志端口和協(xié)議類型相同 新添加的日志服務(wù)器狀態(tài)默認(rèn)為關(guān)閉 需要手動(dòng)開啟 如圖9所示 日志配置 圖9日志服務(wù)添加 1 前述 登錄DCWAF系統(tǒng)后 通過選擇左側(cè)導(dǎo)航欄中 報(bào)表 導(dǎo)航欄進(jìn)入報(bào)表查看功能 如圖10所示 報(bào)表查看 圖10報(bào)表查看導(dǎo)航欄 當(dāng)前DCWAF系統(tǒng)提供五類統(tǒng)計(jì) 時(shí)段綜合合統(tǒng)計(jì) 服務(wù)訪問統(tǒng)計(jì) 服務(wù)綜合統(tǒng)計(jì) Web攻擊統(tǒng)計(jì) DDoS攻擊統(tǒng)計(jì) 每類統(tǒng)計(jì)包含有若干子類統(tǒng)計(jì) 2 時(shí)段綜合統(tǒng)計(jì) 時(shí)段綜合統(tǒng)計(jì)的功能是統(tǒng)計(jì)某個(gè)時(shí)間段 某日 某周 某月 內(nèi)的WEB攻擊防護(hù)數(shù)據(jù) DDoS攻擊防護(hù)數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 生成報(bào)表 便于分析攻擊或訪問集中發(fā)生的時(shí)間段 按時(shí)段劃分 分成三種類型的報(bào)表 日報(bào)表 統(tǒng)計(jì)某個(gè)服務(wù)或全部服務(wù)的某一天內(nèi)的WEB攻擊防護(hù)數(shù)據(jù) DDoS攻擊防護(hù)數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 周報(bào)表 統(tǒng)計(jì)某個(gè)服務(wù)或全部服務(wù)的某一周內(nèi)的WEB攻擊防護(hù)數(shù)據(jù) DDoS攻擊防護(hù)數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 月報(bào)表 統(tǒng)計(jì)某個(gè)服務(wù)或全部服務(wù)的某一月內(nèi)的WEB攻擊防護(hù)數(shù)據(jù) DDoS攻擊防護(hù)數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 報(bào)表查看 圖11時(shí)段綜合統(tǒng)計(jì)界面 2 時(shí)段綜合統(tǒng)計(jì) 報(bào)表查看 圖11時(shí)段綜合統(tǒng)計(jì)界面 圖11時(shí)段綜合統(tǒng)計(jì)操作界面 3 服務(wù)訪問統(tǒng)計(jì) 服務(wù)訪問統(tǒng)計(jì)功能是統(tǒng)計(jì)某一時(shí)間段內(nèi)的服務(wù)訪問數(shù)據(jù) 生成統(tǒng)計(jì)報(bào)表 包括基本流量統(tǒng)計(jì) 訪問統(tǒng)計(jì) 內(nèi)容統(tǒng)計(jì) 基本流量統(tǒng)計(jì) 統(tǒng)計(jì)訪問服務(wù)的正常流量 按日段 周段或者月段統(tǒng)計(jì)網(wǎng)頁訪問量 文件請求數(shù) 字節(jié)數(shù)等信息 訪問統(tǒng)計(jì) 對訪問服務(wù)的客戶端信息進(jìn)行分類統(tǒng)計(jì) 分為七類 訪客IP 搜索機(jī)器人 操作系統(tǒng) 瀏覽器 國家地區(qū) 中國省區(qū) 中國城市 內(nèi)容統(tǒng)計(jì) 對訪問數(shù)據(jù)的基本內(nèi)容進(jìn)行分類統(tǒng)計(jì) 分為六類 文件類型 最常訪問網(wǎng)頁 出站入站 HTTP錯(cuò)誤代碼 找不到的網(wǎng)頁 域名 報(bào)表查看 3 服務(wù)訪問統(tǒng)計(jì) 服務(wù)訪問統(tǒng)計(jì)界面查看功能與時(shí)段綜合統(tǒng)計(jì)基本相同 不同的部分子類統(tǒng)計(jì)查看頁面內(nèi)可以進(jìn)行更細(xì)化的查詢 如圖12所示 報(bào)表查看 圖12服務(wù)訪問統(tǒng)計(jì)子類細(xì)化查詢 4 服務(wù)綜合統(tǒng)計(jì) 服務(wù)綜合統(tǒng)計(jì)的功能是統(tǒng)計(jì)某一時(shí)間段內(nèi)WEB攻擊防護(hù)數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 生成報(bào)表 分為WEB攻擊防護(hù)和訪問統(tǒng)計(jì)兩部分內(nèi)容 WEB攻擊防護(hù) 對WEB攻擊數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì) 共分五類 攻擊來源 受攻擊最多的URI 攻擊源地址 攻擊來源 訪問方法 以圖表 餅狀圖 柱狀圖或折線圖 和列表兩種方式顯示 訪問統(tǒng)計(jì) 對服務(wù)訪問數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì) 共分六類 訪客IP 訪問來源 最常訪問的網(wǎng)頁 入站出站 找不到的網(wǎng)頁 站點(diǎn)域名 報(bào)表查看 圖10報(bào)表查看導(dǎo)航欄 5 Web攻擊統(tǒng)計(jì) Web攻擊統(tǒng)計(jì)的功能是分類統(tǒng)計(jì)某段時(shí)間內(nèi)的Web攻擊數(shù)據(jù) 生成報(bào)表 主要分七類進(jìn)行統(tǒng)計(jì) 被攻擊目標(biāo)的分布 攻擊類型 攻擊源地址 攻擊來源 訪問方法 受攻擊最多的URITOP排名 被過濾關(guān)鍵字 如圖13所示 報(bào)表查看 圖13Web攻擊統(tǒng)計(jì)界面 6 DDoS攻擊統(tǒng)計(jì) DDoS攻擊統(tǒng)計(jì)的功能是分類統(tǒng)計(jì)某段時(shí)間內(nèi)的DDos攻擊數(shù)據(jù) 生成報(bào)表 主要分四類 攻擊目標(biāo)的分布 攻擊類型 攻擊源地址 攻擊來源 如圖14所示 DDoS攻擊統(tǒng)計(jì)與其它統(tǒng)計(jì)不同之外在于統(tǒng)計(jì)所使用的數(shù)據(jù)為量化后的數(shù)據(jù) DDoS防護(hù)模塊檢測到DDoS攻擊后會每百萬條日志采樣一條 統(tǒng)計(jì)使用采樣的日志數(shù)據(jù) 報(bào)表查看 圖14DDoS攻擊統(tǒng)計(jì)界面 1 前述 在 配置 導(dǎo)航欄中選擇 報(bào)表配置 項(xiàng)即可進(jìn)入報(bào)表配置功能頁面 如圖15所示 報(bào)表配置 圖15報(bào)表配置導(dǎo)航 報(bào)表配置的功能是按需求配置想要導(dǎo)出或訂閱的報(bào)表模版 以供查看 報(bào)表配置功能分以下三部分 新建報(bào)表配置查看歷史報(bào)表報(bào)表配置管理 2 新建報(bào)表配置 如果要想導(dǎo)出或訂閱一項(xiàng)報(bào)表 需要配置該項(xiàng)報(bào)表的模版參數(shù) 生成指定內(nèi)容的報(bào)表 新建報(bào)表配置部分需要配置以下參數(shù) 基本配置 包含以下參數(shù) 配置名稱 唯一標(biāo)識此項(xiàng)配置的名稱 不可重復(fù) 配置描述 對該項(xiàng)配置的簡單描述信息 標(biāo)題名稱 生成報(bào)表的標(biāo)題名稱 可以重復(fù) 模版配置 可以選擇六種類型報(bào)表中的一種或幾種 針對每種類型的報(bào)表可配置更詳細(xì)的參數(shù) 生成一份報(bào)告模版 報(bào)表配置 2 新建報(bào)表配置 導(dǎo)出配置 主要包含以下參數(shù) 導(dǎo)出方式 分為手動(dòng)導(dǎo)出和自動(dòng)導(dǎo)出 選擇 手動(dòng)導(dǎo)出 時(shí) 可以將報(bào)表導(dǎo)出到本地或網(wǎng)關(guān) 指WAF系統(tǒng)本身 選擇 自動(dòng)導(dǎo)出 時(shí) 按配置的時(shí)間自動(dòng)將報(bào)表導(dǎo)出到網(wǎng)關(guān) 點(diǎn)擊 查看歷史報(bào)表 可以查看保存在網(wǎng)關(guān)上的報(bào)表 系統(tǒng)在內(nèi)存模式下 不能選擇自動(dòng)導(dǎo)出報(bào)表 保存方式 手動(dòng)導(dǎo)出報(bào)表時(shí) 可以選擇導(dǎo)出到本地或者網(wǎng)關(guān)上進(jìn)行保存 系統(tǒng)在內(nèi)存模式下 不能選擇保存到網(wǎng)關(guān) 是否訂閱 選擇 是 把報(bào)表發(fā)送到指定的郵箱 需填寫接收訂閱報(bào)表的郵箱地址 填寫郵箱之前 需要在 配置 郵件發(fā)送配置