以下部分详细介绍了 WAF 日志分析。

日志字段

以下是 WAF 日志条目中的字段。

  • Timestamp:捕获日志的时间。

  • WAF:WAF 评估结果。有关更多信息,请参阅 WAF 状态部分。

  • Client IP:客户端的 IP 地址。

  • URI:评估的流量的 URL。

  • Request:请求类型。

  • Response:响应代码。

  • Length:响应正文的大小。

  • Duration/Timeline:流量的持续时间。

WAF 状态

WAF 日志条目中的该列表示 WAF 评估结果。以下是可能的结果:

  • REJECTED:策略处于“实施”模式并拒绝了请求。

  • FLAGGED:策略处于“检测”模式并记录了请求,但未拒绝请求。

  • PASSED:请求通过了 WAF 策略,而没有任何匹配。

  • -:WAF 未评估请求。

  • BYPASSED:请求与允许列表匹配并绕过了该请求。

日志建议用于帮助修复误报(如果有)。这些建议对应于每个 REJECTEDFLAGGED 日志条目。

注:

系统会生成建议,指示您可以执行哪些操作来缓解误报。但是,日志条目是否表示误报完全由您自行决定。

详细日志信息

单击每个日志条目末尾的 + 号,将展开面板以提供更多详细信息。

  • 重要性:指示 WAF 策略匹配情况。

注:

这是匹配的 WAF 策略的第一个指标,并不指示是否拒绝了请求。



  • WAF 响应时间:显示所有四个 WAF 评估阶段的执行时间。



  • WAF 命中数:显示所有匹配的规则。所有匹配的规则将具有一个包含以下字段的条目:

    • 组名称

    • 规则名称

    • 规则 ID

    • 规则消息

    • 匹配的请求或响应的一部分,以及违规字符串

    • 匹配阶段

    • 分配给规则的标记



  • 添加例外:在 WAF 命中数部分下,单击 + 添加例外,为误报修复创建例外。

  • 可以在组级别或规则级别创建例外。系统将立即激活创建的例外。