H3C SecPath W2000-AK445 访问日志不记录

1. 日志记录问题排查

1.1 检查日志配置

• 确认日志主机配置：
  • 在 系统 > 日志设置 > Web应用防护日志 中勾选“输出快速日志”。
  • 在 系统 > 日志设置 > 基本配置 > 快速日志 中配置日志主机IP，并勾选“Web应用防护日志”。
  • 确保日志主机的接收服务（如Syslog）正常运行，防火墙未拦截日志流量。

1.2 本地存储检查

• 在 系统 > 日志设置 > 本地日志存储 中确认是否开启本地存储。
• 检查设备磁盘空间是否充足（日志存储路径为logfile目录）。

• 2. SQL注入不拦截问题排查

  2.1 防护策略与规则

  • 检查防护策略：
    • 在 规则 > Web安全策略 中确认是否启用“SQL注入防护”规则。
    • 确保规则动作设置为阻断（默认可能为“允许并记录”）。
  • 自定义规则启用：
    • 若使用预定义规则（如CVE编号），需在自定义策略中手动启用相关规则（参考故障处理手册步骤7）。

  2.2 特征库更新

  • 通过 display waf signature library 检查特征库版本是否为最新。
    • 若版本过旧，需升级特征库（旧版本可能无法识别新攻击特征）。

  2.3 流量路径与会话

  • 检查会话表：
    • 使用 display session table 确认攻击流量经过WAF设备，且匹配了正确的安全域和策略。
  • 抓包验证：
    • 在设备上抓包（如通过tcpdump）确认攻击报文是否到达WAF，并检查报文是否符合拦截规则。

  2.4 加密流量处理

  • 若攻击流量为HTTPS：
    • WAF需配置SSL解密策略（如反向代理模式需上传服务器证书）。
    • 若流量在LB设备卸载SSL，需确保明文流量传递给WAF（参考案例某局点防火墙IPS特征无命中问题）。

  ---

  3. 通用故障处理

  3.1 License状态

  • 确认设备License未过期，且包含WAF功能授权。

  3.2 引擎状态

  • 执行 display inspect status 确认DPI引擎状态为normal。
  • 若规则未生效，通过 inspect activate 重新激活引擎。

  3.3 日志调试

  • 开启调试日志：
    • 通过 debugging waf 或 debugging ips 查看实时检测日志。
  • 收集日志和配置反馈至H3C技术支持（若问题仍无法定位）。

  ---

  4. 参考案例

  • 日志停止记录：可能因日志存储满、配置变更或接口模式错误（如trunk模式未适配VLAN）。
  • 不拦截攻击：常见于规则未启用、特征库过旧或流量未命中策略（如加密流量未解密）。

  通过上述步骤，可系统性定位日志记录和防护失效的根本原因。若仍无法解决，建议联系H3C技术支持并提供完整诊断信息（display diagnostic-information）。