WAF培訓(xùn)資料9-日志報表.ppt

日志報表 唐進元tangjya 章節(jié)目標 日志查看 日志配置 報表查看 報表配置 日志報表功能概述 日志模塊 實時記錄和存儲系統(tǒng)運行過程中產(chǎn)生的各類日志 主要分為系統(tǒng)日志 訪問日志 事件日志和防護日志四類 供系統(tǒng)管理員進行查看分析 系統(tǒng)管理員亦可執(zhí)行日志配置 導(dǎo)出日志 清空日志等操作對日志模塊進行配置管理 報表模塊 系統(tǒng)對日志模塊生產(chǎn)的日志進行自動統(tǒng)計分析 生成不同類型的統(tǒng)計報表 如按時段統(tǒng)計 按服務(wù)統(tǒng)計 按攻擊統(tǒng)計等 系統(tǒng)管理員通過查看統(tǒng)計報表可以掌握當前系統(tǒng)運行的主要概況 亦可根據(jù)需求導(dǎo)出統(tǒng)計報表供后續(xù)查看 1 前述 登錄DCWAF系統(tǒng)后 通過選擇左側(cè)導(dǎo)航欄中 日志 導(dǎo)航欄進入日志查看功能 如圖1所示 日志類型分為系統(tǒng)日志 訪問日志 事件日志 防護日志四類 當前共包含有系統(tǒng)日志 服務(wù)訪問日志 認證日志 服務(wù)監(jiān)控日志 告警日志 WEB防護日志 防篡改日志 漏洞掃描日志 DDoS防護日志9種不同類型的日志 圖1日志查看 日志查看 2 界面說明 日志查看 圖2日志查看界面 2 界面說明 日志查看 日志篩選區(qū) 可以在本區(qū)設(shè)定篩選條件查看符合條件的日志 翻頁控制區(qū) 對當前顯示的日志進行翻頁查看控制 條目信息區(qū) 顯示當前篩選條件下日志總條目以及展示在日志內(nèi)容區(qū)內(nèi)的日志條目范圍 列顯示控制區(qū) 顯示日志屬性列 并可對各屬性列進行顯示與隱藏控制 日志內(nèi)容區(qū) 顯示詳細日志內(nèi)容 3 操作 對日志查看的操作主要有 日志篩選 翻頁 顯示列控制 日志查看 日志篩選 點擊查看某類日志時系統(tǒng)默認按 時間 顯示當天產(chǎn)生的所有日志 可以通過添加篩選條件更具體地控制日志的顯示 如圖3所示 圖3日志篩選顯示控制 3 操作 通過點擊加號按鈕添加篩選條件 點擊減號按鈕移除添加的篩選條件 系統(tǒng)默認已經(jīng)使用 時間 條件篩選 不能移除本條件 新增加的每個篩選條件由 條件項 篩選方式 條件內(nèi)容 構(gòu)成 條件項來自于構(gòu)成日志的屬性列 不同日志屬性列不同 篩選方式有等于 不等于 匹配 不匹配 條件內(nèi)容由用戶輸入 英文字母大小寫敏感 新增加的多個條件間使用AND或OR組合 即與和或 可通過點擊AND或OR按鈕進行兩者間切換 其中AND優(yōu)先級大于OR 這些條件組合完畢后再與 時間 條件進行AND組合 例如圖3的多個條件組合后為 時間 AND 服務(wù)名稱AND方法 OR策略名稱 日志查看 3 操作 日志翻頁控制 可以通過點擊翻頁控制區(qū)內(nèi)的 首頁 上一頁 下一頁 和 尾頁 控制跳轉(zhuǎn)至不同頁 或手動輸入頁碼后按回車鍵跳轉(zhuǎn)至該頁 如果存儲的日志已經(jīng)有變化 可以點擊刷新按鈕刷新日志顯示 顯示列控制 每條日志由多個不同的屬性列構(gòu)成 如系統(tǒng)日志 包含的屬性列有 時間 登錄IP 用戶 事件 摘要 日志級別 狀態(tài) 可以配置每個屬性列顯示與否和排序方式 操作方法 鼠標移至顯示列控制欄上某一屬性列名稱上 右側(cè)會出現(xiàn)一向下箭頭按鈕 點擊該按鈕彈出控制菜單 即可進行顯示控制 如下頁圖4所示 日志查看 3 操作 日志查看 圖4日志顯示列控制 1 前述 在 配置 導(dǎo)航欄中選擇 日志配置 項即可進入日志配置功能頁面 如圖5所示 日志配置 圖5日志配置導(dǎo)航 日志配置用于配置日志的保存方式 保存類型 保存時長 清空 導(dǎo)出 遠程日志服務(wù)器等 從界面上可分為基本配置 日志導(dǎo)出 日志清空和日志服務(wù)器四個方面配置 2 基本配置 日志配置的基本配置界面如右圖6所示 日志配置 圖6日志基本配置界面圖 2 基本配置 基本配置包含以下參數(shù) 存儲空間 顯示當前記錄日志設(shè)備的空間使用率 總大小以及空閑大小 模式選擇 包含三種模式 磁盤記錄 內(nèi)存記錄 不記錄 磁盤記錄是將日志記錄在磁盤 內(nèi)存記錄是將日志記錄在內(nèi)存 不記錄則是不記錄所有防護日志 默認是內(nèi)存記錄模式 最大占用率 指定日志記錄設(shè)備 硬盤或內(nèi)存 最大占用率 超過上限時 指定記錄日志設(shè)備占用超過設(shè)備占用配置值時如何處理 有重寫最早日志和不記錄兩種處理方式 保存天數(shù) 指定各日志類型保存日志的天數(shù) 默認為15天 是否記錄 指定各類型日志是否被記錄 當且僅當記錄模式選擇為 磁盤記錄 或 內(nèi)存記錄 時 該配置項有效 日志配置 3 日志導(dǎo)出 日志導(dǎo)出界面如右圖7所示 日志配置 圖7日志導(dǎo)出界面 3 日志導(dǎo)出 日志導(dǎo)出包含自動導(dǎo)出和手動導(dǎo)出兩種方式 自動導(dǎo)出 通過FTP方式自動導(dǎo)出所選的日志類型 手動導(dǎo)出 手動導(dǎo)出分為手動下載和FTP導(dǎo)出兩種方式 手動下載 下載所選擇的日志并保存到本地 FTP導(dǎo)出 通過FTP方式導(dǎo)出所選擇的日志到FTP服務(wù)器 日志配置 4 日志清空 日志清空用于清空選定類型的日志 保存的日志天數(shù) 顯示各日志類型當前保存的日志天數(shù) 該天數(shù)是指某類型日志保存最早日期的日志距離當前的時間 大小 顯示各日志類型當前保存的日志占用空間大小 日志配置 圖8日志清空界面 5 日志服務(wù)器配置 通過配置日志服務(wù)器 可以把DCWAF系統(tǒng)產(chǎn)生的日志統(tǒng)一發(fā)送至遠端服務(wù)器 方便用戶對日志信息進行集中管理與分析 配置日志服務(wù)器前需要先搭建日志服務(wù)器 所需的安裝套件已隨DCWAF系統(tǒng)發(fā)布 具體使用請參考相關(guān)部分 遠端日志服務(wù)器搭建完畢后 在DCWAF系統(tǒng)日志服務(wù)器配置中點擊 添加 按鈕彈出添加日志服務(wù)器頁面 日志配置 圖8日志清空界面 5 日志服務(wù)器配置 服務(wù)器IP輸入遠端日志服務(wù)器的IP地址 端口和協(xié)議類型與遠端日志服務(wù)器配置的接收日志端口和協(xié)議類型相同 新添加的日志服務(wù)器狀態(tài)默認為關(guān)閉 需要手動開啟 如圖9所示 日志配置 圖9日志服務(wù)添加 1 前述 登錄DCWAF系統(tǒng)后 通過選擇左側(cè)導(dǎo)航欄中 報表 導(dǎo)航欄進入報表查看功能 如圖10所示 報表查看 圖10報表查看導(dǎo)航欄 當前DCWAF系統(tǒng)提供五類統(tǒng)計 時段綜合合統(tǒng)計 服務(wù)訪問統(tǒng)計 服務(wù)綜合統(tǒng)計 Web攻擊統(tǒng)計 DDoS攻擊統(tǒng)計 每類統(tǒng)計包含有若干子類統(tǒng)計 2 時段綜合統(tǒng)計 時段綜合統(tǒng)計的功能是統(tǒng)計某個時間段 某日 某周 某月 內(nèi)的WEB攻擊防護數(shù)據(jù) DDoS攻擊防護數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 生成報表 便于分析攻擊或訪問集中發(fā)生的時間段 按時段劃分 分成三種類型的報表 日報表 統(tǒng)計某個服務(wù)或全部服務(wù)的某一天內(nèi)的WEB攻擊防護數(shù)據(jù) DDoS攻擊防護數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 周報表 統(tǒng)計某個服務(wù)或全部服務(wù)的某一周內(nèi)的WEB攻擊防護數(shù)據(jù) DDoS攻擊防護數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 月報表 統(tǒng)計某個服務(wù)或全部服務(wù)的某一月內(nèi)的WEB攻擊防護數(shù)據(jù) DDoS攻擊防護數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 報表查看 圖11時段綜合統(tǒng)計界面 2 時段綜合統(tǒng)計 報表查看 圖11時段綜合統(tǒng)計界面 圖11時段綜合統(tǒng)計操作界面 3 服務(wù)訪問統(tǒng)計 服務(wù)訪問統(tǒng)計功能是統(tǒng)計某一時間段內(nèi)的服務(wù)訪問數(shù)據(jù) 生成統(tǒng)計報表 包括基本流量統(tǒng)計 訪問統(tǒng)計 內(nèi)容統(tǒng)計 基本流量統(tǒng)計 統(tǒng)計訪問服務(wù)的正常流量 按日段 周段或者月段統(tǒng)計網(wǎng)頁訪問量 文件請求數(shù) 字節(jié)數(shù)等信息 訪問統(tǒng)計 對訪問服務(wù)的客戶端信息進行分類統(tǒng)計 分為七類 訪客IP 搜索機器人 操作系統(tǒng) 瀏覽器 國家地區(qū) 中國省區(qū) 中國城市 內(nèi)容統(tǒng)計 對訪問數(shù)據(jù)的基本內(nèi)容進行分類統(tǒng)計 分為六類 文件類型 最常訪問網(wǎng)頁 出站入站 HTTP錯誤代碼 找不到的網(wǎng)頁 域名 報表查看 3 服務(wù)訪問統(tǒng)計 服務(wù)訪問統(tǒng)計界面查看功能與時段綜合統(tǒng)計基本相同 不同的部分子類統(tǒng)計查看頁面內(nèi)可以進行更細化的查詢 如圖12所示 報表查看 圖12服務(wù)訪問統(tǒng)計子類細化查詢 4 服務(wù)綜合統(tǒng)計 服務(wù)綜合統(tǒng)計的功能是統(tǒng)計某一時間段內(nèi)WEB攻擊防護數(shù)據(jù)和服務(wù)訪問數(shù)據(jù) 生成報表 分為WEB攻擊防護和訪問統(tǒng)計兩部分內(nèi)容 WEB攻擊防護 對WEB攻擊數(shù)據(jù)進行分類統(tǒng)計 共分五類 攻擊來源 受攻擊最多的URI 攻擊源地址 攻擊來源 訪問方法 以圖表 餅狀圖 柱狀圖或折線圖 和列表兩種方式顯示 訪問統(tǒng)計 對服務(wù)訪問數(shù)據(jù)進行分類統(tǒng)計 共分六類 訪客IP 訪問來源 最常訪問的網(wǎng)頁 入站出站 找不到的網(wǎng)頁 站點域名 報表查看 圖10報表查看導(dǎo)航欄 5 Web攻擊統(tǒng)計 Web攻擊統(tǒng)計的功能是分類統(tǒng)計某段時間內(nèi)的Web攻擊數(shù)據(jù) 生成報表 主要分七類進行統(tǒng)計 被攻擊目標的分布 攻擊類型 攻擊源地址 攻擊來源 訪問方法 受攻擊最多的URITOP排名 被過濾關(guān)鍵字 如圖13所示 報表查看 圖13Web攻擊統(tǒng)計界面 6 DDoS攻擊統(tǒng)計 DDoS攻擊統(tǒng)計的功能是分類統(tǒng)計某段時間內(nèi)的DDos攻擊數(shù)據(jù) 生成報表 主要分四類 攻擊目標的分布 攻擊類型 攻擊源地址 攻擊來源 如圖14所示 DDoS攻擊統(tǒng)計與其它統(tǒng)計不同之外在于統(tǒng)計所使用的數(shù)據(jù)為量化后的數(shù)據(jù) DDoS防護模塊檢測到DDoS攻擊后會每百萬條日志采樣一條 統(tǒng)計使用采樣的日志數(shù)據(jù) 報表查看 圖14DDoS攻擊統(tǒng)計界面 1 前述 在 配置 導(dǎo)航欄中選擇 報表配置 項即可進入報表配置功能頁面 如圖15所示 報表配置 圖15報表配置導(dǎo)航 報表配置的功能是按需求配置想要導(dǎo)出或訂閱的報表模版 以供查看 報表配置功能分以下三部分 新建報表配置查看歷史報表報表配置管理 2 新建報表配置 如果要想導(dǎo)出或訂閱一項報表 需要配置該項報表的模版參數(shù) 生成指定內(nèi)容的報表 新建報表配置部分需要配置以下參數(shù) 基本配置 包含以下參數(shù) 配置名稱 唯一標識此項配置的名稱 不可重復(fù) 配置描述 對該項配置的簡單描述信息 標題名稱 生成報表的標題名稱 可以重復(fù) 模版配置 可以選擇六種類型報表中的一種或幾種 針對每種類型的報表可配置更詳細的參數(shù) 生成一份報告模版 報表配置 2 新建報表配置 導(dǎo)出配置 主要包含以下參數(shù) 導(dǎo)出方式 分為手動導(dǎo)出和自動導(dǎo)出 選擇 手動導(dǎo)出 時 可以將報表導(dǎo)出到本地或網(wǎng)關(guān) 指WAF系統(tǒng)本身 選擇 自動導(dǎo)出 時 按配置的時間自動將報表導(dǎo)出到網(wǎng)關(guān) 點擊 查看歷史報表 可以查看保存在網(wǎng)關(guān)上的報表 系統(tǒng)在內(nèi)存模式下 不能選擇自動導(dǎo)出報表 保存方式 手動導(dǎo)出報表時 可以選擇導(dǎo)出到本地或者網(wǎng)關(guān)上進行保存 系統(tǒng)在內(nèi)存模式下 不能選擇保存到網(wǎng)關(guān) 是否訂閱 選擇 是 把報表發(fā)送到指定的郵箱 需填寫接收訂閱報表的郵箱地址 填寫郵箱之前 需要在 配置 郵件發(fā)送配置