• 如何減少日志分析存儲容量？

• 云防火墻的流量日志是否支持導出到第三方系統(tǒng)？

• 如何查看云防火墻日志存儲剩余容量？

• 為什么有來自阿里云的ICMP周期性探測流量日志？

• 為什么流量日志有應用顯示為Unknown？

• 釋放云防火墻后，日志分析數(shù)據(jù)是否會保留？

• 日志審計記錄是否支持導出？

• 如何通過日志查看云防火墻防護攻擊的總次數(shù)？

• 云防火墻引擎運維升級之后，為什么部分長連接流量日志缺失？

• 為什么云防火墻的日志總數(shù)與DDoS高防、WAF的日志總數(shù)不一致？

如何減少日志分析存儲容量？

您可以通過減少日志存儲時長、減少日志分類投遞、定期轉(zhuǎn)存至OSS存儲空間、清空日志存儲空間等方式降低日志存儲的空間。

• 減少日志存儲時長

  開通日志分析后，日志默認存儲時長為180天。如果您確認業(yè)務不需要保留較長時間的歷史日志，您可以手動修改日志存儲的時長。具體操作，請參見修改日志存儲時長。

• 減少日志投遞分類

  云防火墻默認開啟所有日志類型的投遞開關(guān)，如果只需要關(guān)注個別分類的日志，建議您只開啟必要的日志分類投遞開關(guān)。具體操作，請參見設置日志采集類型。

• 定期轉(zhuǎn)存至OSS存儲空間

  如果日志較多，且都需要保留，建議您將日志轉(zhuǎn)存至OSS存儲空間。具體操作，請參見創(chuàng)建OSS投遞任務（新版）。

• 清空日志

  如果測試階段日志較多，且不需要保留，建議您清空已存儲的日志。具體操作，請參見管理日志存儲空間。

云防火墻的流量日志是否支持導出到第三方系統(tǒng)？

支持。您可以通過云防火墻日志分析功能導出日志，將導出的日志文件接入到第三方業(yè)務系統(tǒng)，如安全運維中心等。

您可以根據(jù)實際場景，選擇合適方式導出日志。

• 日志數(shù)據(jù)量小的場景

  您可以通過云防火墻日志分析提供的日志下載功能，將日志下載到本地，然后上傳到第三方系統(tǒng)。下載日志的具體操作，請參見導出日志。

• 日志數(shù)據(jù)量大的場景

  您可以通過日志服務控制臺，通過程序組編程等方式，將日志數(shù)據(jù)導出到第三方系統(tǒng)。具體操作，請參見通過消費組消費數(shù)據(jù)。

如何查看云防火墻日志存儲剩余容量？

未開通云防火墻日志分析功能時，不支持查看日志存儲容量。如果您已經(jīng)開通了云防火墻日志分析功能，您可以通過云防火墻控制臺查看日志存儲的使用量和剩余容量。具體操作，請參見管理日志存儲空間。

為什么有來自阿里云的ICMP周期性探測流量日志？

云防火墻為了保證服務質(zhì)量，會周期性發(fā)送ICMP報文進行探測，該類探測不是掃描攻擊，不會對業(yè)務造成影響。

您可以登錄云防火墻控制臺，通過云服務地址簿Source address for SLA monitoring，查看云防火墻SLA服務質(zhì)量探針地址。具體操作，請參見地址簿管理。

為什么流量日志有應用顯示為Unknown？

應用顯示為Unknown，說明云防火墻未識別到流量的應用，可能存在如下原因：

• 流量日志的收發(fā)包個數(shù)小于3個包，且未建立會話，可能是掃描流量。

• 被四層訪問控制策略攔截的流量，這種情況不會建立會話。

• 被入侵防御攔截或其他原因?qū)е耇CP Reset流量中斷，沒有匹配到特征。

• 流量為加密流量，或者流量應用類型為非標應用、內(nèi)部應用、DPI不支持的應用等。

當云防火墻無法識別流量的應用或域名時，為了不影響業(yè)務，云防火墻會默認放行這些流量。如果您不希望直接放行這些流量，您可以開啟對應防火墻的嚴格模式。具體操作，請參見訪問控制引擎模式介紹或配置ACL引擎模式。

釋放云防火墻后，日志分析數(shù)據(jù)是否會保留？

包年包月版本不保留，按量版保留。

釋放云防火墻后，云防火墻的配置數(shù)據(jù)（例如訪問控制策略、攻擊防護策略、流量分析策略配置等）將保留7天。如果您需要保留包年包月版日志分析數(shù)據(jù)，請在釋放云防火墻之前，將日志導出到本地或投遞到第三方系統(tǒng)。具體操作，請參見導出日志。

日志審計記錄是否支持導出？

日志審計記錄不支持直接導出，您可以在日志分析頁面，通過設定查詢語句，搜索及導出原始日志。

例如，您需要導出最近24小時互聯(lián)網(wǎng)邊界防火墻入方向流量，并且應用類型為HTTPS的日志，操作步驟如下：

1. 登錄云防火墻控制臺。

2. 在左側(cè)導航欄，選擇日志監(jiān)控 > 日志分析

3. 在日志分析頁簽的搜索框輸入查詢語句，并且設置查詢時間為1天。具體操作，請參見查詢及分析日志。

   查詢語句如下：

   log_type:internet_log and direction:"in" and app_name:"HTTPS"

4. 導出查詢結(jié)果。具體操作，請參見導出日志。

如何通過日志查看云防火墻防護攻擊的總次數(shù)？

您可以設置查詢語句rule_result:drop和需要查詢的時間，通過查詢結(jié)果的日志條數(shù)來判斷云防火墻攔截的攻擊總次數(shù)。具體操作，請參見查詢及分析日志。

為什么云防火墻的日志總數(shù)與DDoS高防、WAF的日志總數(shù)不一致？

因為云防火墻日志記錄對象是四層流量的入向和出向日志，而DDoS高防和WAF記錄對象是七層HTTP請求的日志。

四層日志關(guān)注的是單獨的TCP或UDP連接和單個數(shù)據(jù)包，而七層日志關(guān)注的是完整的HTTP請求和響應。一個HTTP請求或響應受網(wǎng)絡環(huán)境等影響可能會通過多個TCP報文傳輸，因此在四層可能記錄多條日志，而在七層只記錄為一條HTTP請求或響應的日志。

此外，由于重傳、網(wǎng)絡延遲、分片及應用層協(xié)議的特性（如 HTTP Keep-Alive），四層的日志記錄也會比七層的日志更為復雜和繁多。因此，在對這些不同層級的日志進行比對或分析時，考慮到它們固有的差異是非常重要的。

因此，云防火墻的日志總數(shù)與DDoS高防、WAF的日志總數(shù)不一致屬于正常現(xiàn)象。

云防火墻引擎運維升級之后，為什么部分長連接流量日志缺失？

云防火墻引擎運維升級對于用戶業(yè)務無影響。但是在引擎升級和擴縮容等運維場景下，會導致部分長鏈接的流量日志后續(xù)不再上報，缺少一部分流量日志數(shù)據(jù)。

您可以開通日志分析服務，在日志分析頁面，選擇時間范圍為1分鐘，設置日志“new_conn=0”進行查詢，過濾出非新建連接的流量數(shù)據(jù)，這部分數(shù)據(jù)可能會丟失。該場景下，當業(yè)務重新建立連接后，會繼續(xù)記錄日志。

關(guān)于如何開通日志分析服務，請參見開通日志分析服務。