WAF培训资料9-日志报表.ppt

日志报表 唐进元tangjya 章节目标 日志查看 日志配置 报表查看 报表配置 日志报表功能概述 日志模块 实时记录和存储系统运行过程中产生的各类日志 主要分为系统日志 访问日志 事件日志和防护日志四类 供系统管理员进行查看分析 系统管理员亦可执行日志配置 导出日志 清空日志等操作对日志模块进行配置管理 报表模块 系统对日志模块生产的日志进行自动统计分析 生成不同类型的统计报表 如按时段统计 按服务统计 按攻击统计等 系统管理员通过查看统计报表可以掌握当前系统运行的主要概况 亦可根据需求导出统计报表供后续查看 1 前述 登录DCWAF系统后 通过选择左侧导航栏中 日志 导航栏进入日志查看功能 如图1所示 日志类型分为系统日志 访问日志 事件日志 防护日志四类 当前共包含有系统日志 服务访问日志 认证日志 服务监控日志 告警日志 WEB防护日志 防篡改日志 漏洞扫描日志 DDoS防护日志9种不同类型的日志 图1日志查看 日志查看 2 界面说明 日志查看 图2日志查看界面 2 界面说明 日志查看 日志筛选区 可以在本区设定筛选条件查看符合条件的日志 翻页控制区 对当前显示的日志进行翻页查看控制 条目信息区 显示当前筛选条件下日志总条目以及展示在日志内容区内的日志条目范围 列显示控制区 显示日志属性列 并可对各属性列进行显示与隐藏控制 日志内容区 显示详细日志内容 3 操作 对日志查看的操作主要有 日志筛选 翻页 显示列控制 日志查看 日志筛选 点击查看某类日志时系统默认按 时间 显示当天产生的所有日志 可以通过添加筛选条件更具体地控制日志的显示 如图3所示 图3日志筛选显示控制 3 操作 通过点击加号按钮添加筛选条件 点击减号按钮移除添加的筛选条件 系统默认已经使用 时间 条件筛选 不能移除本条件 新增加的每个筛选条件由 条件项 筛选方式 条件内容 构成 条件项来自于构成日志的属性列 不同日志属性列不同 筛选方式有等于 不等于 匹配 不匹配 条件内容由用户输入 英文字母大小写敏感 新增加的多个条件间使用AND或OR组合 即与和或 可通过点击AND或OR按钮进行两者间切换 其中AND优先级大于OR 这些条件组合完毕后再与 时间 条件进行AND组合 例如图3的多个条件组合后为 时间 AND 服务名称AND方法 OR策略名称 日志查看 3 操作 日志翻页控制 可以通过点击翻页控制区内的 首页 上一页 下一页 和 尾页 控制跳转至不同页 或手动输入页码后按回车键跳转至该页 如果存储的日志已经有变化 可以点击刷新按钮刷新日志显示 显示列控制 每条日志由多个不同的属性列构成 如系统日志 包含的属性列有 时间 登录IP 用户 事件 摘要 日志级别 状态 可以配置每个属性列显示与否和排序方式 操作方法 鼠标移至显示列控制栏上某一属性列名称上 右侧会出现一向下箭头按钮 点击该按钮弹出控制菜单 即可进行显示控制 如下页图4所示 日志查看 3 操作 日志查看 图4日志显示列控制 1 前述 在 配置 导航栏中选择 日志配置 项即可进入日志配置功能页面 如图5所示 日志配置 图5日志配置导航 日志配置用于配置日志的保存方式 保存类型 保存时长 清空 导出 远程日志服务器等 从界面上可分为基本配置 日志导出 日志清空和日志服务器四个方面配置 2 基本配置 日志配置的基本配置界面如右图6所示 日志配置 图6日志基本配置界面图 2 基本配置 基本配置包含以下参数 存储空间 显示当前记录日志设备的空间使用率 总大小以及空闲大小 模式选择 包含三种模式 磁盘记录 内存记录 不记录 磁盘记录是将日志记录在磁盘 内存记录是将日志记录在内存 不记录则是不记录所有防护日志 默认是内存记录模式 最大占用率 指定日志记录设备 硬盘或内存 最大占用率 超过上限时 指定记录日志设备占用超过设备占用配置值时如何处理 有重写最早日志和不记录两种处理方式 保存天数 指定各日志类型保存日志的天数 默认为15天 是否记录 指定各类型日志是否被记录 当且仅当记录模式选择为 磁盘记录 或 内存记录 时 该配置项有效 日志配置 3 日志导出 日志导出界面如右图7所示 日志配置 图7日志导出界面 3 日志导出 日志导出包含自动导出和手动导出两种方式 自动导出 通过FTP方式自动导出所选的日志类型 手动导出 手动导出分为手动下载和FTP导出两种方式 手动下载 下载所选择的日志并保存到本地 FTP导出 通过FTP方式导出所选择的日志到FTP服务器 日志配置 4 日志清空 日志清空用于清空选定类型的日志 保存的日志天数 显示各日志类型当前保存的日志天数 该天数是指某类型日志保存最早日期的日志距离当前的时间 大小 显示各日志类型当前保存的日志占用空间大小 日志配置 图8日志清空界面 5 日志服务器配置 通过配置日志服务器 可以把DCWAF系统产生的日志统一发送至远端服务器 方便用户对日志信息进行集中管理与分析 配置日志服务器前需要先搭建日志服务器 所需的安装套件已随DCWAF系统发布 具体使用请参考相关部分 远端日志服务器搭建完毕后 在DCWAF系统日志服务器配置中点击 添加 按钮弹出添加日志服务器页面 日志配置 图8日志清空界面 5 日志服务器配置 服务器IP输入远端日志服务器的IP地址 端口和协议类型与远端日志服务器配置的接收日志端口和协议类型相同 新添加的日志服务器状态默认为关闭 需要手动开启 如图9所示 日志配置 图9日志服务添加 1 前述 登录DCWAF系统后 通过选择左侧导航栏中 报表 导航栏进入报表查看功能 如图10所示 报表查看 图10报表查看导航栏 当前DCWAF系统提供五类统计 时段综合合统计 服务访问统计 服务综合统计 Web攻击统计 DDoS攻击统计 每类统计包含有若干子类统计 2 时段综合统计 时段综合统计的功能是统计某个时间段 某日 某周 某月 内的WEB攻击防护数据 DDoS攻击防护数据和服务访问数据 生成报表 便于分析攻击或访问集中发生的时间段 按时段划分 分成三种类型的报表 日报表 统计某个服务或全部服务的某一天内的WEB攻击防护数据 DDoS攻击防护数据和服务访问数据 周报表 统计某个服务或全部服务的某一周内的WEB攻击防护数据 DDoS攻击防护数据和服务访问数据 月报表 统计某个服务或全部服务的某一月内的WEB攻击防护数据 DDoS攻击防护数据和服务访问数据 报表查看 图11时段综合统计界面 2 时段综合统计 报表查看 图11时段综合统计界面 图11时段综合统计操作界面 3 服务访问统计 服务访问统计功能是统计某一时间段内的服务访问数据 生成统计报表 包括基本流量统计 访问统计 内容统计 基本流量统计 统计访问服务的正常流量 按日段 周段或者月段统计网页访问量 文件请求数 字节数等信息 访问统计 对访问服务的客户端信息进行分类统计 分为七类 访客IP 搜索机器人 操作系统 浏览器 国家地区 中国省区 中国城市 内容统计 对访问数据的基本内容进行分类统计 分为六类 文件类型 最常访问网页 出站入站 HTTP错误代码 找不到的网页 域名 报表查看 3 服务访问统计 服务访问统计界面查看功能与时段综合统计基本相同 不同的部分子类统计查看页面内可以进行更细化的查询 如图12所示 报表查看 图12服务访问统计子类细化查询 4 服务综合统计 服务综合统计的功能是统计某一时间段内WEB攻击防护数据和服务访问数据 生成报表 分为WEB攻击防护和访问统计两部分内容 WEB攻击防护 对WEB攻击数据进行分类统计 共分五类 攻击来源 受攻击最多的URI 攻击源地址 攻击来源 访问方法 以图表 饼状图 柱状图或折线图 和列表两种方式显示 访问统计 对服务访问数据进行分类统计 共分六类 访客IP 访问来源 最常访问的网页 入站出站 找不到的网页 站点域名 报表查看 图10报表查看导航栏 5 Web攻击统计 Web攻击统计的功能是分类统计某段时间内的Web攻击数据 生成报表 主要分七类进行统计 被攻击目标的分布 攻击类型 攻击源地址 攻击来源 访问方法 受攻击最多的URITOP排名 被过滤关键字 如图13所示 报表查看 图13Web攻击统计界面 6 DDoS攻击统计 DDoS攻击统计的功能是分类统计某段时间内的DDos攻击数据 生成报表 主要分四类 攻击目标的分布 攻击类型 攻击源地址 攻击来源 如图14所示 DDoS攻击统计与其它统计不同之外在于统计所使用的数据为量化后的数据 DDoS防护模块检测到DDoS攻击后会每百万条日志采样一条 统计使用采样的日志数据 报表查看 图14DDoS攻击统计界面 1 前述 在 配置 导航栏中选择 报表配置 项即可进入报表配置功能页面 如图15所示 报表配置 图15报表配置导航 报表配置的功能是按需求配置想要导出或订阅的报表模版 以供查看 报表配置功能分以下三部分 新建报表配置查看历史报表报表配置管理 2 新建报表配置 如果要想导出或订阅一项报表 需要配置该项报表的模版参数 生成指定内容的报表 新建报表配置部分需要配置以下参数 基本配置 包含以下参数 配置名称 唯一标识此项配置的名称 不可重复 配置描述 对该项配置的简单描述信息 标题名称 生成报表的标题名称 可以重复 模版配置 可以选择六种类型报表中的一种或几种 针对每种类型的报表可配置更详细的参数 生成一份报告模版 报表配置 2 新建报表配置 导出配置 主要包含以下参数 导出方式 分为手动导出和自动导出 选择 手动导出 时 可以将报表导出到本地或网关 指WAF系统本身 选择 自动导出 时 按配置的时间自动将报表导出到网关 点击 查看历史报表 可以查看保存在网关上的报表 系统在内存模式下 不能选择自动导出报表 保存方式 手动导出报表时 可以选择导出到本地或者网关上进行保存 系统在内存模式下 不能选择保存到网关 是否订阅 选择 是 把报表发送到指定的邮箱 需填写接收订阅报表的邮箱地址 填写邮箱之前 需要在 配置 邮件发送配置