WAF防火墙 态势感知如何配置，目前设备态势感知模块无任何数据展示

WAF防火墙的态势感知模块无数据显示，是一个需要系统性排查的问题。通常可以从授权、日志源配置、数据接收、解析规则这四个核心环节入手。

 排查步骤

1. 确认授权是否有效

这是最容易被忽略但最关键的一步。态势感知作为一个高级功能模块，通常需要单独授权才能启用。如果授权已过期或未正确加载，模块将无法工作。

• 检查方法：登录设备Web界面，找到“系统管理”或“许可证”相关菜单，确认态势感知功能的授权状态是否为“已激活”且“未过期”。

2. 检查日志源配置

态势感知的数据主要来自各类安全设备发送的日志。如果WAF没有正确将日志发送给态势感知模块，自然就没有数据显示。

• 确认日志源添加：在态势感知的Web界面中，进入“日志源管理”或“资产配置”页面，检查是否已将WAF设备本身作为日志源添加到列表中

• 确认WAF侧配置：登录WAF设备，检查其日志发送配置。需要确认是否已开启日志功能，并将日志服务器地址指向态势感知模块的日志接收IP（注意，这个IP可能与Web管理IP不同，通常对应特定的数据接口）。

• 检查网络连通性：从WAF设备ping态势感知模块的日志接收IP，确保基础网络路由是可达的。

3. 验证数据接收情况

配置无误后，需要确认数据是否真的送到了“家里”。

• 查看日志接收统计：在态势感知的“系统监控”或“日志中心”界面，通常会有日志接收的统计图表。查看是否有从WAF发来的日志数量在增长。如果接收数为0，说明问题出在上一步的配置或网络上。

• 检查日志内容：如果能看到日志数量在增长，但首页和告警页面依然无数据，可以点进“日志中心”查看原始日志内容。如果日志内容显示为乱码，可能是WAF发送日志时使用的字符集编码与态势感知解析时的不一致（例如，需要修改为GBK）。

4. 排查日志解析与告警规则

数据收到了，但如果没有被正确解析或命中告警规则，同样不会有信息呈现。

• 检查日志解析：查看日志中心里WAF的日志是否被正确解析出“源IP”、“目的IP”、“威胁类型”等关键字段。如果字段解析失败或为空，说明态势感知可能没有适配WAF当前的日志格式。需要确认WAF的日志格式是否与态势感知的要求匹配。

• 检查告警规则：态势感知的告警是基于内置或自定义的关联规则生成的。如果WAF发送的日志本身是正常的（不包含威胁），或者所有威胁日志都没有命中任何规则，那么告警列表自然为空。可以尝试手动触发一个已知的安全事件（如访问测试站点），看是否能产生告警。

5. 检查版本是否为最新

软件版本的缺陷也可能导致功能异常。可以检查态势感知模块的当前版本号，并登录H3C官网查看是否有更新的版本发布。如果当前版本过旧，建议在维护窗口期升级到官方推荐的最新稳定版

做配置了吗

4.3  安全态势

安全态势主要展示安全态势感知图（含世界态势图、中国态势图）、系统时间、攻击统计（含当日攻击、当日攻击IP、攻击者TOP5、攻击源地域TOP5）、目标资产/目的资产 TOP5、安全防护/主动防御攻击类型分布统计、HTTP请求（含HTTP Get请求数、HTTP Post请求数）、实时事件、攻击趋势（含低级攻击、中级攻击、高级攻击）等信息。

图4-15 态势感知

l     安全态势展示设置

系统可以根据配置条件的设置显示对应的攻击统计信息。配置条件为目标资产，默认配置条件为：全部，可根据需要查询态势感知展示的目标资产。

图4-16 目标资产配置

态势图展示方式分为世界态势图和中国态势图，通过点击切换按钮切换态势展示方式。

图4-17 态势图切换按钮

图4-18 图4.18  世界态势图

世界态势图可根据需要通过滑动条调整展示数据内容，默认展示65%的态势数据。

图4-19 态势图滑动条设置

图4-20 中国态势图

l     系统时间

展示当前系统时间。

图4-21 系统时间

l     当日攻击、当日攻击IP统计

展示当日攻击次数，当日攻击IP数。

图4-22 攻击次数、攻击IP数

l     攻击者 Top5

展示攻击者 Top5数据，攻击源IP与对应攻击次数统计，点击【more】按钮可直接跳转到防护日志-攻击源分析界面。

图4-23 攻击源IP Top5

图4-24 点击more跳转攻击源分析页面

l     攻击源地域Top5

展示攻击源地域Top5数据，攻击源地域与对应攻击次数统计，点击【more】按钮可直接跳转到防护日志-攻击源分析界面。

图4-25 攻击源地域Top5

图4-26 点击more跳转攻击源分析页面

l     目标资产Top5

当目标资产为默认配置（全部）时，展示目标资产Top5的资产名称、资产地址等基本信息，统计目标资产被攻击次数，点击【more】按钮可直接跳转到状态监控-资产状态界面。

图4-27 目标资产Top5

图4-28 点击more跳转资产状态页面

当设定目标资产为某一资产进行查询时，展示该资产的目的IP Top5信息，统计目的IP及被攻击次数，点击【more】按钮可直接跳转到防护日志-攻击目的分析界面。

图4-29 目的IP Top5

图4-30 点击more跳转攻击目标分析页面

l     安全防护攻击类型分布统计

展示当日安全防护攻击类型分布与对应攻击类型的攻击次数统计。点击安全防护攻击类型分布柱状图区域，会弹出对应攻击防护详情信息，详情信息可通过【上一条】/【下一条】进行翻页预览。

图4-31 安全防护攻击类型分布统计

图4-32 安全防护攻击类型分布统计详情

l     主动防御攻击类型分布统计

展示当日主动防御攻击类型分布与对应攻击类型的攻击次数统计。

图4-33 主动防御攻击类型分布统计

l     HTTP请求

显示HTTP Get请求数与HTTP Post请求数的次数统计趋势。

图4-34 HTTP请求趋势

l     实时事件

展示攻击实时事件的攻击者、目的IP、目的域名、严重级别以及攻击类型等攻击事件信息。

图4-35 实时事件

l     攻击趋势

展示高级攻击、中级攻击、低级攻击的攻击趋势。

图4-36 攻击趋势