WEB应用防火墙，攻击日志查询

都在特征防护规则里

一、先看你这个是什么日志
你截图里的日志是：
攻击类型：特征防护规则（也就是 IPS/AV/URL 过滤等特征库匹配到的攻击行为）
源 IP：公网 IP（新疆 / 北京）
攻击目的：外部域名
次数：1 次
这类日志一般是防火墙的IPS / 特征防护模块产生的告警。
二、Web 界面里具体查看路径（按 H3C 防火墙 V7/V9 系统）
1. 查看 “实时事件 / 威胁日志”
登录防火墙 Web 界面 → 顶部菜单进入 监控 或 日志中心。
找到 威胁日志 / IPS 日志 / 特征防护日志 菜单（不同版本命名略有差异）。
这里可以按时间、源 IP、目的 IP / 域名、攻击类型来筛选，就能看到你说的：
哪些地址在攻击（源 IP）
攻击到了哪里（目的 IP / 域名）
用什么方式攻击（攻击类型 / 特征 ID / 命中规则）
2. 查看 “会话日志 / 流量日志”（辅助确认）
如果想确认这些攻击对应的具体流量：
进入 监控 → 会话管理 → 会话列表。
按源 IP / 目的 IP 筛选，看对应会话的状态、是否被阻断。
三、为什么你找不到？（几个常见坑）
日志级别设置太高，这类告警被过滤了
防火墙默认可能只记录 “严重 / 高危” 事件，这类单次的特征匹配告警级别低，不会显示。
解决：在 系统 → 日志配置 → 告警级别 里，把 IPS / 特征防护的告警级别调低，比如设为 “信息 / 通知”。
日志没有本地存储，直接发往了日志服务器
如果防火墙配置了 Syslog 服务器（比如态势感知、堡垒机），日志会直接外发，本地 Web 界面不保存。
解决：检查 系统 → 日志配置 → Syslog 里是否配置了外发服务器，如果配置了，需要去日志服务器里查。
“实时事件” 是大屏展示，不是原始日志
你截图里的 “实时事件”，很多时候是态势感知平台或防火墙大屏的汇总展示，不是防火墙 Web 管理界面里的原始日志列表。
解决：区分开大屏展示和防火墙 Web 界面，原始日志必须在防火墙或日志服务器的日志中心查看。
日志已经被自动清理了
防火墙本地日志存储空间有限，旧日志会被循环覆盖，这类单次攻击的日志如果没有及时查看，很容易被冲掉。
四、快速排查步骤（按顺序做）
先去 监控 → 日志中心 → 威胁日志，按 “攻击类型 = 特征防护规则” 筛选，看有没有对应记录。
检查 系统 → 日志配置，确认日志是否本地存储、告警级别是否开启了这类事件。
确认防火墙是否配置了 Syslog 外发，如果有，去对应的日志服务器里查。
如果是态势感知平台的大屏，去态势感知的 日志分析 → 安全事件 里，按源 IP / 时间筛选。

在H3C Web应用防火墙的Web管理界面上看不到攻击日志，通常是因为相关日志记录功能默认没有开启，或是针对特定攻击（如WAF特征防护）的日志查看方式有特殊要求。

掌握以下两个关键点，就能轻松找到详细的攻击信息：

第一步：开启日志记录功能

• 关键问题：H3C防火墙的攻击防范日志记录功能，在缺省情况下是关闭的。如果没有手动开启，无论Web界面还是命令行都查不到日志。

• 自查：确认在系统视图下执行了 attack-defense logging enable 命令；在Web界面，也需检查“系统”>“日志设置”等菜单中的相关选项是否已勾选。

第二步：找到日志的正确查看路径
日志开启后，根据攻击类型在Web界面不同位置查询：

• 实时监控概览：查看攻击活动的实时状态，通常在 “监控” 或 “威胁监控” 模块。例如“实时事件”快照-，用于了解当前正在发生的攻击、攻击者和攻击目标。

• 详细安全事件日志：查看已发生的、归档的详细攻击记录，通常在 “日志” 或 “事件审计” 模块。例如“安全日志”、“攻击防范日志”、“威胁日志”。在这里可以设置时间、源/目的IP等过滤条件进行精确查询。

• 对于“特征防护规则”攻击（WAF日志）：WAF日志比较特殊，它不支持直接在Web界面查看。需要通过配置 “快速日志输出”（Fast Log Output），将WAF日志发送到Syslog服务器后，在日志主机上查看。具体是在“系统 > 日志设置 > WAF日志”和“快速日志输出”页面完成配置。

• 对于“CC攻击/泛洪攻击”：这类攻击日志属于攻击防范（Attack Defense）范畴。路径通常为“监控”>“安全日志”>“泛洪攻击日志”或“攻击防范日志”。

 不同攻击类型对应日志路径

上面提到了不同攻击要看不同的日志，这里为你归纳了一下，方便你排查：