Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,日志报表,唐进元,日志报表唐进元,1,章节目标,日志查看,日志配置,报表查看,报表配置,章节目标日志查看日志配置报表查看报表配置,2,日志报表功能概述,日志模块：,实时记录和存储系统运行过程中产生的各类日志，主要分为系统日志、访问日志、事件日志和防护日志四类，供系统管理员进行查看分析。系统管理员亦可执行日志配置、导出日志、清空日志等操作对日志模块进行配置管理。,报表模块：,系统对日志模块生产的日志进行自动统计分析，生成不同类型的统计报表，如按时段统计、按服务统计、按攻击统计等。系统管理员通过查看统计报表可以掌握当前系统运行的主要概况，亦可根据需求导出统计报表供后续查看。,日志报表功能概述日志模块：实时记录和存储系统运行过程中产生的,3,1.,前述,登录,DCWAF,系统后，通过选择左侧导航栏中“日志”导航栏进入日志查看功能。如图,1,所示。,日志类型分为系统日志、访问日志、事件日志、防护日志四类，当前共包含有系统日志、服务访问日志、认证日志、服务监控日志、告警日志、,WEB,防护日志、防篡改日志、漏洞扫描日志、,DDoS,防护日志,9,种不同类型的日志,。,图,1,日志查看,日志查看,1.前述 登录DCWAF系统后，通过选择左侧导航栏中“,4,2.,界面说明,日志查看,图,2,日志查看界面,2.界面说明日志查看图2 日志查看界面,5,2.,界面说明,日志查看,日志筛选区：可以在本区设定筛选条件查看符合条件 的日志。,翻页控制区：对当前显示的日志进行翻页查看控制。,条目信息区：显示当前筛选条件下日志总条目以及展示在日志内容区内的日志条目范围。,列显示控制区：显示日志属性列，并可对各属性列进行显示与隐藏控制。,日志内容区：显示详细日志内容。,2.界面说明日志查看日志筛选区：可以在本区设定筛选条件查看符,6,3.,操作,对日志查看的操作主要有：日志筛选、翻页、显示列控制。,日志查看,日志筛选：,点击查看某类日志时系统默认按“时间”显示当天产生的所有日志。可以通过添加筛选条件更具体地控制日志的显示。如图,3,所示。,图,3,日志筛选显示控制,3.操作对日志查看的操作主要有：日志筛选、翻页、显示列控制。,7,3.,操作,通过点击加号按钮 添加筛选条件，点击减号按钮 移除添加的筛选条件。系统默认已经使用“时间”条件筛选，不能移除本条件。,新增加的每个筛选条件由：,条件项,+,筛选方式,+,条件内容,构成。条件项来自于构成日志的属性列，不同日志属性列不同。筛选方式有等于、不等于、匹配、不匹配。条件内容由用户输入，英文字母大小写敏感。,新增加的多个条件间使用,AND,或,OR,组合，即与和或，可通过点击,AND,或,OR,按钮进行两者间切换，其中,AND,优先级大于,OR,。这些条件组合完毕后再与“时间”条件进行,AND,组合。例如图,3,的多个条件组合后为：,（时间）,AND,（服务名称,AND,方法）,OR,策略名称）,日志查看,3.操作 通过点击加号按钮 添加筛选条件，点击减号按钮,8,3.,操作,日志翻页控制,：可以通过点击翻页控制区内的“首页”、“上一页”、“下一页”和“尾页”控制跳转至不同页，或手动输入页码后按回车键跳转至该页。如果存储的日志已经有变化，可以点击刷新按钮 刷新日志显示。,显示列控制,：每条日志由多个不同的属性列构成，如系统日志，包含的属性列有：时间、登录,IP,、用户、事件、摘要、日志级别、状态。可以配置每个属性列显示与否和排序方式。操作方法：鼠标移至显示列控制栏上某一属性列名称上，右侧会出现一向下箭头按钮，点击该按钮弹出控制菜单，即可进行显示控制，如下页图,4,所示。,日志查看,3.操作日志翻页控制：可以通过点击翻页控制区内的“首页”、“,9,3.,操作,日志查看,图,4,日志显示列控制,3.操作日志查看图4 日志显示列控制,10,1.,前述,在“配置”导航栏中选择“日志配置”项即可进入日志配置功能页面。如图,5,所示。,日志配置,图,5,日志配置导航,日志配置用于配置日志的保存方式、保存类型、保存时长、清空、导出、远程日志服务器等。从界面上可分为基本配置、日志导出、日志清空和日志服务器四个方面配置。,1.前述 在“配置”导航栏中选择“日志配置”项即可进入,11,2.,基本配置,日志配置的基本配置界面如右图,6,所示。,日志配置,图,6,日志基本配置界面图,2.基本配置日志配置的基本配置界面如右图6所示。日志配置图6,12,2.,基本配置,基本配置包含以下参数：,存储空间,:,显示当前记录日志设备的空间使用率、总大小以及空闲大小。,模式选择,:,包含三种模式：磁盘记录，内存记录，不记录。磁盘记录是将日志记录在磁盘，内存记录是将日志记录在内存，不记录则是不记录所有防护日志，默认是内存记录模式。,最大占用率,:,指定日志记录设备（硬盘或内存）最大占用率，,超过上限时,:,指定记录日志设备占用超过设备占用配置值时如何处理，有重写最早日志和不记录两种处理方式。,保存天数,:,指定各日志类型保存日志的天数，默认为,15,天。,是否记录,:,指定各类型日志是否被记录，当且仅当记录模式选择为“磁盘记录”或“内存记录”时，该配置项有效。,日志配置,2.基本配置 基本配置包含以下参数：日志配置,13,3.,日志导出,日志导出界面如右图,7,所示。,日志配置,图,7,日志导出界面,3.日志导出日志导出界面如右图7所示。日志配置图7 日志,14,3.,日志导出,日志导出包含自动导出和手动导出两种方式。,自动导出：,通过,FTP,方式自动导出所选的日志类型：,手动导出：,手动导出分为手动下载和,FTP,导出两种方式。,手动下载,:,下载所选择的日志并保存到本地。,FTP,导出,:,通过,FTP,方式导出所选择的日志到,FTP,服务器。,日志配置,3.日志导出日志导出包含自动导出和手动导出两种方式。日志配置,15,4.,日志清空,日志清空用于清空选定类型的日志。,保存的日志天数,:,显示各日志类型当前保存的日志天数，该天数是指某类型日志保存最早日期的日志距离当前的时间。,大小,:,显示各日志类型当前保存的日志占用空间大小。,日志配置,图,8,日志清空界面,4.日志清空日志清空用于清空选定类型的日志。日志配置图8,16,5.,日志服务器配置,通过配置日志服务器，可以把,DCWAF,系统产生的日志统一发送至远端服务器，,方便用户对日志信息进行集中管理与分析。,配置日志服务器前需要先搭建日志服务器，所需的安装套件已随,DCWAF,系统发布。具体使用请参考相关部分。,远端日志服务器搭建完毕后，在,DCWAF,系统日志服务器配置中点击“添加”按钮弹出添加日志服务器页面。,日志配置,图,8,日志清空界面,5.日志服务器配置 通过配置日志服务器，可以把DCWA,17,5.,日志服务器配置,服务器,IP,输入远端日志服务器的,IP,地址；端口和协议类型与远端日志服务器配置的接收日志端口和协议类型相同。新添加的日志服务器状态默认为关闭，需要手动开启。如图,9,所示。,日志配置,图,9,日志服务添加,5.日志服务器配置服务器IP输入远端日志服务器的IP地址；端,18,1.,前述,登录,DCWAF,系统后，通过选择左侧导航栏中“报表”导航栏进入报表查看功能。如图,10,所示。,报表查看,图,10,报表查看导航栏,当前,DCWAF,系统提供五类统计：时段综合合统计、服务访问统计、服务综合统计、,Web,攻击统计、,DDoS,攻击统计。每类统计包含有若干子类统计。,1.前述 登录DCWAF系统后，通过选择左侧导航栏中“,19,2.,时段综合统计,时段综合统计的功能是统计某个时间段（某日、某周、某月）内的,WEB,攻击防护数据、,DDoS,攻击防护数据和服务访问数据，生成报表，便于分析攻击或访问集中发生的时间段。按时段划分，分成三种类型的报表,：,日报表,：,统计某个服务或全部服务的某一天内的,WEB,攻击防护数据、,DDoS,攻击防护数据和服务访问数据。,周报表,：,统计某个服务或全部服务的某一周内的,WEB,攻击防护数据、,DDoS,攻击防护数据和服务访问数据。,月报表,：,统计某个服务或全部服务的某一月内的,WEB,攻击防护数据、,DDoS,攻击防护数据和服务访问数据。,报表查看,图,11,时段综合统计界面,2.时段综合统计时段综合统计的功能是统计某个时间段（某日、某,20,2.,时段综合统计,报表查看,图,11,时段综合统计界面,图,11,时段综合统计操作界面,2.时段综合统计报表查看图11 时段综合统计界面图1,21,3.,服务访问统计,服务访问统计功能是统计某一时间段内的服务访问数据，生成统计报表。包括基本流量统计、访问统计、内容统计。,基本流量统计：,统计访问服务的正常流量，按日段、周段或者月段统计网页访问量、文件请求数、字节数等信息。,访问统计：,对访问服务的客户端信息进行分类统计，分为七类：访客,IP,、搜索机器人、操作系统、浏览器、国家地区、中国省区、中国城市。,内容统计：,对访问数据的基本内容进行分类统计，分为六类：文件类型、最常访问网页、出站入站、,HTTP,错误代码、找不到的网页、域名。,报表查看,3.服务访问统计服务访问统计功能是统计某一时间段内的服务访问,22,3.,服务访问统计,服务访问统计界面查看功能与时段综合统计基本相同，不同的部分子类统计查看页面内可以进行更细化的查询。如图,12,所示。,报表查看,图,12,服务访问统计子类细化查询,3.服务访问统计服务访问统计界面查看功能与时段综合统计基本相,23,4.,服务综合统计,服务综合统计的功能是统计某一时间段内,WEB,攻击防护数据和服务访问数据，生成报表。分为,WEB,攻击防护和访问统计两部分内容。,WEB,攻击防护：,对,WEB,攻击数据进行分类统计，共分五类：,攻击来源、受攻击最多的,URI,、攻击源地址、攻击来源、访问方法,。以图表（饼状图、柱状图或折线图）和列表两种方式显示。,访问统计：,对服务访问数据进行分类统计，共分六类：访客,IP,、访问来源、最常访问的网页、入站出站、找不到的网页、站点域名。,报表查看,图,10,报表查看导航栏,4.服务综合统计服务综合统计的功能是统计某一时间段内WEB,24,5.Web,攻击统计,Web,攻击统计的功能是分类统计某段时间内的,Web,攻击数据，生成报表。主要分七类进行统计：被攻击目标的分布、攻击类型、攻击源地址、攻击来源、访问方法、受攻击最多的,URITOP,排名、被过滤关键字。如图,13,所示。,报表查看,图,13 Web,攻击统计界面,5.Web攻击统计Web攻击统计的功能是分类统计某段时间内,25,6.DDoS,攻击统计,DDoS,攻击统计的功能是分类统计某段时间内的,DDos,攻击数据，生成报表。主要分四类,:,攻击目标的分布、攻击类型、攻击源地址、攻击来源。如图,14,所示。,DDoS,攻击统计与其它统计不同之外在于统计所使用的数据为量化后的数据。,DDoS,防护模块检测到,DDoS,攻击后会每百万条日志采样一条，统计使用采样的日志数据。,报表查看,图,14 DDoS,攻击统计界面,6.DDoS攻击统计DDoS攻击统计的功能是分类统计某段时,26,1.,前述,在“配置”导航栏中选择“报表配置”项即可进入报表配置功能页面。如图,15,所示。,报表配