CNFW 提供互联网边界防火墙开关功能，支持对弹性公网 IP、直通型子网进行防护。在互联网边界防火墙开关页面，可自动探测到您所持有的公网 IP 以及关联的云上资产，您可配置对应的防火墙开关。

互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，部署在互联网和用户主机之间。

对于未开启互联网边界防火墙的公网IP资产，流量不会经过互联网边界防火墙，直接到达ECS实例。

对于开启了互联网边界防火墙的公网IP资产，流量经过边界防火墙检测和过滤后，最终到达ECS实例。

7.3.2.1 防护的资产类型

弹性公网 IP 防火墙开关功能帮助您检测互联网和公网 IP 资产间的通信流量。

目前支持的防护资产类型有：ECS的EIP、SLB的EIP。

7.3.2.2 同步资产

简介

您可以通过同步资产，将 EIP 资产信息同步到数据库并在“弹性公网 IP 开关”页面展示。如果您想查看最新的 EIP 资产信息，可手动同步资产。

系统默认，每次从别的页面切换到“防火墙开关 > 互联网边界防火墙开关 > 弹性公网 IP 开关”页面时，自动同步当前接入的 EIP 资产。您也可以手动单击“资产同步”，刷新当前的 EIP 资产信息。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 弹性公网 IP 开关”，进入“弹性公网 IP 开关”页面。

(2)单击右上方的“资产同步”，页面自动刷新当前的 EIP 资产信息。

7.3.2.3 设置弹性公网 IP 防火墙

简介

对于未开启互联网边界防火墙的公网IP资产，互联网流量不会经过互联网边界防火墙，直接到达ECS实例。对于开启了互联网边界防火墙的公网IP资产，互联网流量经过边界防火墙检测和过滤后，最终到达ECS实例。

前提条件

已完成开通 CNFW。

已开通 ECS 服务器，并绑定 EIP资产。

已开通 SLB，并绑定 EIP资产。

限制与指导

首次开通 CNFW 实例时，或者对于新增资产，均需要单个设置防火墙实例，开启弹性公网 IP 防火墙防护。

每个 CNFW 实例可防护的 EIP 有数量限制，超过开通 CNFW 实例时购买的可防护公网 IP 数量的 EIP ，“防护墙开关”列显示为“关闭”；您可以通过扩容 CNFW增加可可防护公网 IP 数量。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 弹性公网 IP 开关”，进入“弹性公网 IP 开关”页面。

(2)（可选）当您列表IP数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于弹性公网 IP、弹性公网 ID、资产类型、绑定资产实例名称 / ID、防火墙开关等进行搜索。

(3)找到目标 EIP 资产，单击操作列的“设置”，弹出“设置”对话框。

(4)配置参数，为单个 EIP 资产设置弹性公网 IP 防火墙。

后续操作

EIP 开启防护后，访问控制策略默认动作为“放行”；您需要配置访问控制策略、配置入侵检测策略，CNFW 才会对匹配上防护规则的流量实施拦截操作。

7.3.2.4 批量开启 / 关闭弹性公网 IP 防火墙开关

简介

对于通过关闭 EIP 防火墙开关停止对 公网 IP 的互联网边界防护。

前提条件

已完成开通 CNFW。

已开通 ECS 服务器，并绑定 EIP资产。

已通过设置弹性公网 IP 防火墙对新增资产完成了开启防护操作。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 弹性公网 IP 开关”，进入“弹性公网 IP 开关”页面。

(2)（可选）当您列表IP数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于弹性公网 IP、弹性公网 ID、资产类型、绑定资产实例名称 / ID、防火墙开关等进行搜索。

(3)勾选目标 EIP，单击左下方的“批量开启”或“批量关闭”，在弹出的对话框中执行相应操作。

批量开启：选择防火墙实例后，单击“下一步”，选择弹性公网 IP；单击“确定”即可。

批量关闭：在弹出的“批量关闭”确认对话框中单机“确定”即可。

7.3.3.1 创建直通型子网防火墙

简介

通过创建直通型子网防火墙，对直通型子网进行防护。

前提条件

已完成开通 CNFW。

在创建专有网络 VPC 时，子网类型选择“直通型”。

限制与指导

每个 CNFW 实例可防护的 EIP 有数量限制，超过开通 CNFW 实例时购买的可防护公网 IP 数量的 EIP ，“防护墙开关”列显示为“关闭”；您可以通过扩容 CNFW增加可防护公网 IP 数量。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 直通型子网开关”，进入“直通型子网开关”页面。

(2)单击“创建直通型防火墙”，弹出“创建直通型防火墙”对话框。

(3)配置参数。

(4)单击“确定”，创建成功。

后续操作

开启防护后，您需要配置访问控制策略、配置入侵检测策略，CNFW 才会对匹配上防护规则的流量实施拦截操作。

7.3.3.2 调整直通型子网防火墙开关

简介

您可以通过“调整开关”来开启或关闭直通型子网防火墙防护功能。

前提条件

已完成创建直通型子网防火墙。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 直通型子网开关”，进入“直通型子网开关”页面。

(2)（可选）当您列表子网数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于直通型子网防护范围、所属防火墙实例、所属直通型子网、防火墙实例开关等进行搜索。

(3)单击操作列的“调整开关”，弹出“设置直通型防火墙”对话框。

(4)开启或关闭直通型子网防火墙开关。

：开启直通型子网防火墙防护。

：关闭直通型子网防火墙防护。

(5)单击“确定”，设置成功。

7.3.3.3 删除直通型子网防火墙

简介

您可以将不需要的直通型子网防火墙删除，释放防护授权数量。删除后，该子网不再被 CNFW 防护。

前提条件

已完成创建直通型子网防火墙。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > 互联网边界防火墙开关 > 直通型子网开关”，进入“直通型子网开关”页面。

(2)（可选）当您列表子网数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于直通型子网防护范围、所属防火墙实例、所属直通型子网、防火墙实例开关等进行搜索。

(3)单击操作列的“删除”，弹出“删除”确认框。

(4)单击“确定”，删除成功。

VPC边界防火墙支持对VPC与VPC间、VPC和专线间的流量进行检测、拦截，支持用户配置指定源/目的的VPC+子网级别的防护。

由于当前BGW路由表只支持目的IP，在使用VPC边界防火墙防护功能时，请注意以下事项：

在开启VPC边界防火墙开关后，请为每个防护VPC、虚拟接口单独创建相应的路由表。

创建BGW实例时，系统自动创建一个默认路由表。如果希望对多个VPC进行防护，请勿将所有防护的VPC、虚拟接口都配到默认路由表下，而应该为每个VPC、虚拟接口单独创建一个路由表。

例如：ECS 1实例在VPC 1中，ECS 2实例在VPC 2中，VPC边界防火墙实例部署在VPC 3。此时，您需要在BGW实例对应的BGW路由表中创建3个路由表，分别为VPC 1、VPC 2、VPC 3添加一条路由，而不是将VPC 1、VPC 2、VPC 3都添加到默认路由表中。

有访问诉求的VPC或专线内的两个子网，要么同时开启VPC边界防火墙防护，要么都不开启；只对其中一个子网开启防护，会造成来去路由不一致，影响另一子网业务。

例如：VPC A中有2个子网（子网1、子网2）、VPC B中有2个子网（子网3、子网4），如果在VCP边界防火墙开关中只配置一条防护网段，配置如下：

源VPC：VPC A的子网1

对端VPC/虚拟端口：VPC B 的子网3

在开启防护后，子网1到子网3的来去流量都被防火墙防护；但同时子网2到子网3的流量也被防火墙防护了，子网3到子网2的流量没有被防护，就会造成去路由不一致，子网2业务被影响。所以，应该对子网1、子网2都开启防火墙防护。

进入“防火墙开关 > VPC边界防火墙开关”页面后，该页面展示说明如下：

简介

您可以通过同步资产，将BGW 资产信息同步到数据库并在“VPC边界防火墙开关”页面展示。如果您想查看最新的 BGW 资产信息，可手动同步资产。

系统默认，每次从别的页面切换到“防火墙开关 > VPC边界防火墙开关”页面时，自动同步当前接入的 BGW 资产。您也可以手动单击“资产同步”，刷新当前的 BGW 资产信息。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击“防火墙开关 > VPC边界防火墙开关”，进入“VPC边界防火墙开关”页面。

(2)单击右上方的“资产同步”，页面自动刷新当前的 BGW 资产信息。

简介

如果您想对VPC与VPC间、VPC和专线间的流量进行防护，就需要配置防护网段（指定源/目的的VPC+子网）并开启防火墙开关。

如果您已经开启过VPC边界防火墙防护，也可以通过本节操作添加更多的防护VPC/子网。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“防火墙开关 > VPC边界防火墙开关”页面。

(2)（可选）当您列表资产数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于BGW名称、BGW ID等进行搜索。

(3)找到目标BGW，单击操作列的“配置”，弹出“配置”对话框。

(4)配置参数。

(5)单击“确定”，配置成功。

您可以在“VPC边界防火墙开关”页面查看配置信息。页面说明可参见VPC边界防火墙开关列表说明。

简介

您在配置完VPC边界防火墙引流后，可以通过本节操作单独设置某个防火墙开关。

前提条件

已完成配置防护网段和防火墙开关。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“防火墙开关 > VPC边界防火墙开关”页面。

(2)（可选）当您列表资产数量过多时，可执行此步骤进行筛选。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

可基于BGW名称、BGW ID等进行搜索。

(3)找到目标BGW，单击左侧或“VPC防火墙开关（个）”列的数字，展开防火墙开关配置详情。

(4)单击“设置”，弹出“设置”对话框。

(5)单击“确定”，设置成功。

后续操作

如果您需要添加新的防护VPC，可参见配置防护网段和防火墙开关。

开启防火墙后，流量防护还需配置VPC间防护规则，请参见新建VPC边界访问策略。

如果仅开启互联网边界防火墙开关 / VPC边界防火墙开关、未配置云防火墙的访问控制策略和入侵检测策略，CNFW 仅对流量进行检测和告警，无法实行拦截。您还需要对出站、入站流量配置合适的访问控制策略，降低资产被入侵的风险，加强防护。

简介

“端口”由“协议 + 端口”组成，CNFW通过应用报文特征来识别应用，并根据访问控制策略放行或拦截应用类型的流量。

CNFW 预置了69个端口，如果在新建互联网边界访问策略、新建VPC边界访问策略时没有符合您预期的端口，可通过自定义端口添加；端口将在新建访问控制策略时被引用。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏“访问控制”，默认进入“互联网边界规则”页面。

(2)单击右上方的“自定义端口”，进入“自定义端口”页面。

(3)单击右上方的“添加端口”，弹出“新建端口”对话框。

(4)配置参数。

(5)单击“确定”，添加成功。

7.5.2.2 管理端口

简介

您可以查看CNFW 内置的端口和自定义端口，可删除自定义端口。

限制与指导

CNFW 内置的端口不允许删除。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏“访问控制”，默认进入“互联网边界规则”页面。

(2)单击右上方的“自定义端口”，进入“自定义端口”页面。

(3)可对端口执行以下操作：

过滤查看：在左上方，可基于端口名称、协议类型、目的端口、自定义或预置等快速查找端口。

单个删除自定义端口：单击操作列的“删除”，在弹出的确认框中单击“确定”即可。

批量删除自定义端口：勾选要删除的端口，单击左下方的“批量删除”，在弹出的确认框中单击“确定”即可。

简介

互联网边界防火墙支持对资产的出站和入站流量进行访问控制。CNFW 根据访问控制策略的配置自动匹配出站、入站流量，对命中策略的流量执行阻断、允许放行、记录观察等动作。

前提条件

已开通互联网边界防火墙实例，参见开通 CNFW。

限制与指导

请确保已开启互联网边界防火墙开关，如果未开启互联网边界防火墙，配置的访问控制策略将不生效。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏“访问控制”，进入“互联网边界规则”页面。

(2)单击“新建策略”，弹出“新建策略”对话框。

(3)配置参数。

(4)单击“确定”，新建成功。

简介

VPC边界防火墙支持对VPC与VPC间、VPC和专线间的流量进行检测、拦截。CNFW 根据访问控制策略的配置自动匹配流量，对命中策略的流量执行阻断、允许放行、记录观察等动作。

前提条件

已开通VPC边界防火墙实例，参见开通 CNFW。

限制与指导

请确保已开启VPC边界防火墙开关，如果未开启VPC边界防火墙，配置的访问控制策略将不生效。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“访问控制 > VPC边界规则”页面。

(2)单击“新建策略”，弹出“新建策略”对话框。

(3)配置参数。

(4)单击“确定”，新建成功。

简介

您可以通过“导入”批量添加互联网边界访问策略、VPC边界访问策略。

限制与指导

“导入”策略会将原先的策略先清空，导入成功后只保留导入的策略。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，根据您要导入的规则类型，进入到不同页面中。

导入互联网边界访问策略：进入“访问控制 > 互联网边界规则”页面。

导入VPC边界访问策略：进入“访问控制 > VPC边界规则”页面。

(2)单击“导入”，弹出“导入规则”对话框。

(3)单击“下载模板”，将访问控制规则模板下载到本地。

(4)根据模板填写规则，并保存。

(5)在“导入规则”对话框，单击“上传文件”添加规则文件，或直接将填好的规则文件拖拽到上传框。

(6)单击“确定”，策略导入成功。导入成功后您可以在“互联网边界规则”页面查看到导入的策略信息。

简介

您可以将当前的访问控制策略导出到本地。支持导出互联网边界访问策略、VPC边界访问策略。

限制与指导

已新建互联网边界访问策略。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，根据您要导出的规则类型，进入到不同页面中。

导出互联网边界访问策略：进入“访问控制 > 互联网边界规则”页面。

导出VPC边界访问策略：进入“访问控制 > VPC边界规则”页面。

(2)单击“导出”，便可将访问控制规则下载到本地。

简介

CNFW 根据访问控制策略中的优先级对出站、入站流量进行匹配，对命中策略的流量执行对应的阻断转发、允许转发、记录观察等动作。

如果您想调整放行或阻断流量的优先级顺序，可参照本节操作。

限制与指导

请确保已开启互联网边界防火墙开关或VPC边界防火墙开关，如果未开启，配置的访问控制策略将不生效。

1为最高优先级，数字越大，优先级越低。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏“访问控制”，进入“互联网边界规则”页面。

(2)（可选）在左上方基于策略名称、执行顺序、访问源、访问目的、服务等过滤查找目标策略。

(3)单击操作列的“向上插入”，弹出“向上插入”对话框。

修改“执行顺序”的数字即可修改策略优先级。数字越小，策略的优先级越高。您也可以通过“编辑”修改策略的优先级。

(4)单击“确定”，新建成功。

CNFW 内置了基础 IPS 规则、威胁情报匹配黑白名单、虚拟补丁、DDoS防护等，结合多年攻防实战积累的经验规则，针对访问流量进行检测与防护，可实时阻断和拦截互联网上的恶意流量入侵活动和常规攻击行为。

您可以选择是否使用内置的规则、配置入侵防御模式，选择防护模式为仅检测并记录日志，或对攻击流量进行自动拦截。

简介

CNFW 内置了基础 IPS 引擎、威胁情报匹配引擎、虚拟补丁、DDoS防护等，实现入侵检测与防御功能，可实时拦截入侵行为。

限制与指导

基础IPS引擎开关默认开启，威胁情报匹配引擎开关、虚拟补丁引擎开关、DDoS防护开关默认关闭。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“入侵检测 > 引擎配置”页面。

(2)根据以下说明配置引擎。配置完成后立即生效。

基础 IPS 引擎

内置中国电子云长期攻防实战经验中积累的入侵检测规则，覆盖ATT&CK攻击阶段，识别率高，误报率低，中国电子云安全运营团队持续更新运营规则。

威胁情报匹配引擎

内置中国电子云全网商业威胁情报，对于C2外联，恶意域名外联等进行精准匹配，威胁情报库秒级更新。针对安全敏感场景优化了攻击队黑名单、白名单功能。

虚拟补丁引擎

针对热门、常见的高危漏洞提供热补丁防护能力，无需重启业务，也无需在业务系统中安装真实补丁，支持针对0day漏洞小时级自动更新规则。

DDoS防护

支持对SYN Flood、UDP Flood、HTTP Flood、NTP Flood及混合类型攻击进行检测、告警和防护。

当开启防护时，达到设定的DDoS防护阈值时，根据防护模式做处理（丢弃 / 智能处置）。

简介

CNFW 内置基础防御 IPS 规则、威胁情报黑 / 白名单规则、虚拟补丁规则，如果默认规则无法满足您的需求，您也可以自定义。

目前，CNFW 暂时只支持自定义威胁情报-白名单规则，CNFW 不会对防护白名单中的流量进行拦截，加入到防护白名单的IP或域名会被 CNFW 视为可信流量并放行。

CNFW支持IPv4、IPv6。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“入侵检测 > 规则管理”页面。

(2)单击“新建规则”，弹出“新建规则”对话框。

(3)配置参数。

(4)单击“确定”，完成规则创建

7.6.4.1 查看规则库

简介

规则库包含系统内置的规则和自定义规则，您可以基于规则名称、规则类型模糊查找规则。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“入侵检测 > 规则管理”页面。

(2)规则库规则量多，您可以执行此步骤过滤查找。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

7.6.4.2 修改和删除规则

简介

您可以根据自身需求修改规则的灰度状态、开启 / 关闭规则、编辑和删除自定义规则。

前提条件

已创建过自定义的威胁情报-白名单规则等。

限制与指导

系统内置的规则不允许修改和删除。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，进入“入侵检测 > 规则管理”页面。

(2)（可选）规则库规则量多，您可以执行此步骤过滤查找。

在页面上方搜索下拉框中，选择搜索类型并输入信息，单击即可。

(3)根据下表说明和自身需求执行相应操作。

“告警中心”页面提供基于互联网边界防火墙、VPC边界防火墙、时间范围统计的Top 10攻击IP情况，以及各类告警事件详情和处理

简介

通过设置统计的时间范围，可过滤筛选要统计分析的数据。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 告警中心”，进入“告警中心”页面。

(2)在右上方，选择要查询的时间范围，确定后“告警中心”页面刷新展示。

Top 10 攻击 IP：展示互联网边界防火墙 / VPC边界防火墙下的Top 10 攻击 IP。鼠标悬停在柱状图上可查看产生的告警次数。

告警详情：展示所有告警事件，可查看告警详情与建议、处理告警。

告警处理列表：展示被告警处理的结果，包括放行的IP信息、封禁的IP信息等，您也可以编辑或删除告警处理记录。

简介

当流量命中防护规则时，系统根据处理方式执行放行、观察、阻断等操作，并产生相应的告警事件。您可以在“告警中心”页面查看告警详情，包括首次产生的时间、告警描述、命中的规则、访问源、访问目的、这类告警总共发生的次数、修复建议等；也可以进行告警处理。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 告警中心”，进入“告警中心”页面。

(2)（可选）在右上方，选择要查询的时间范围，确定后“告警中心”页面刷新展示。

(3)在“告警详情”区域，单击操作列的“详情与建议”，弹出“详情与建议”对话框。

您可以查看产生告警的资产IP、告警首次发生时间、最近一次发生时间、命中的告警规则、危险等级、告警描述、告警发生的次数、访问源、访问目的/端口等信息。

简介

您可以对命中规则产生的告警事件进行封禁、放行、忽略处理。

限制与指导

已处理过的告警无法再执行告警处理。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 告警中心”，进入“告警中心”页面。

(2)（可选）在右上方，选择要查询的时间范围，确定后“告警中心”页面刷新展示。

(3)进入告警处理对话框。

方式1：在“告警详情”区域，找到未处理的告警事件，单击操作列“告警处理”，弹出“告警处理”对话框。

方式2：在“告警详情”区域，找到未处理的告警事件，单击操作列的“详情与建议”，在“详情与建议”对话框中单击“告警处理”，弹出“告警处理”对话框。

(4)处理告警。

简介

“告警处理列表”展示被告警处理的结果，包括放行的IP信息、封禁的IP信息等，您也可以编辑或删除告警处理记录。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 告警中心”，进入“告警中心”页面。

(2)（可选）在右上方，选择要查询的时间范围，确定后“告警中心”页面刷新展示。

(3)单击“告警处理列表”，进入“告警处理列表”页面。

编辑：单击“编辑”，可以修改生效时长、添加备注等。

删除：删除后，处理结果会失效。如，删除某封禁IP后，流量会继续命中对应的规则并产生同样的告警。

“日志分析”一般在事后分析的场景中使用。

“日志分析”功能可查看基于登录账号的 CNFW 在指定时间范围内所存储的全部日志详情，同时支持基于检索语句进行日志检索与查询，并提供报表与统计分析服务。

CNFW 支持对访问控制日志、流量日志等进行统计分析；日志支持过滤筛选、刷新、导出、显示/隐藏列的方式。

简介

CNFW 功能页面默认不展示流量日志的统计分析情况，您需要手动配置，才能在“日志分析”页面查看。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 日志分析”，进入“日志分析”页面。

(2)在右上方，将“弹性公网 IP 流量日志”、“VPC间流量日志”的开关置为，便可在“日志分析”页面查看到流量日志相关的信息。

后续操作

您可以执行查看/下载原始日志、查看/下载统计报表等。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 日志分析”，进入“日志分析”页面。

(2)（可选）设置过滤筛选条件，查找日志。

选择需要查询的日志类型、时间或输入SQL语句单击“检索”，页面根据筛选条件刷新展示。

在输入SQL语句时，单击，弹出语法提示，您可根据提示的语法说明填写字段筛选条件；或参照日志检索语法说明检索；也可以参照下文“日志详情”中的“快速配置SOL检索语句”检索。

注意

查询原始日志时，支持索引字段检索和原始日志检索；索引字段检索匹配的是“快速分析”中的字段，原始日志检索匹配的是“日志详情”中的字符串。

查询统计报表时，支持聚合统计检索。

日志发展趋势

“日志发展趋势”以柱状图的形式展示在指定时间范围内，总共的日志条数以及各时间点的日志数量。

鼠标悬停在柱状图上，可查看不同时间点的日志数量；单击“隐藏”可隐藏“日志发展趋势”面板。

快速分析

“快速分析”区域展示所有原始日志里可选的字段、字段占比等信息。“可选字段”为系统出厂预置的。

在“可选字段”中单击，可将字段添加到“已选字段”中，此时“日志详情”区域只展示含“已选字段”的日志。

在“已选字段”中单击，可将字段移除出“已选字段”，此时“日志详情”区域根据当前情况展示日志（如果“已选字段”无字段，则默认展示所有字段；如果“已选字段”还有其他字段，只展示含“已选字段”的日志）。

注意：已选字段和可选字段的增加或减少会影响日志导出时日志字段数。

查看字段占比。

单击字段，弹出字段占比信息。

通过字段占比信息框，快速配置日志查询的SQL语句。

单击字段，弹出字段占比信息；再单击或，可将对应的字段设置为SOL检索语句，同时页面刷新展示。

表示“=”。：表示“!=”。

日志详情

在“日志详情”区域可查看具体日期内的原始日志详情，也可以查看字段占比、快速配置日志查询的SQL语句等。

查看占比

单击，展开日志详情；再单击字段前的，可查看字段占比信息。

快速配置SOL检索语句

单击，展开日志详情；再单击或，可将对应的字段设置为SOL检索语句，同时页面刷新展示。

表示“=”。：表示“!=”。

下载日志

在日志详情模块单击，可将当前展示的日志下载到本地。

简介

CNFW 支持丰富的报表展现形式，如：表格、柱状图、饼图、折线图等，可直观的展示日志统计信息。

限制与指导

统计报表展示聚合后的数据，您需在检索中输入符合“聚合模式”的SQL检索语句。

操作步骤

(1)在云原生防火墙 CNFW控制台页面，单击左侧导航栏的“日志服务 > 日志分析”，进入“日志分析”页面。

(2)在“支持统计聚合查询，关联统计聚合查询”设置框中输入SQL语句，单击“检索”，系统根据SQL语句查询会自动跳转到统计报表页面。

提示

您可以单击右侧的，根据“聚合模式检索”提示示例填写过滤条件（或参见聚合统计检索填写过滤条件）。

(3)单击“统计报表”页签，进入“统计报表”页面。

(4)选择报表形式后，配置相应的报表属性，即可展示统计报表。

报表形式有：表格、折线图、柱状图、面积图、饼图、环图、南丁格尔玫瑰图、散点图、条形图等。

1.索引字段检索

索引字段检索使用SQL检索语法，输入SQL where子语句，条目展开后展示的就是所有的索引字段。

支持的匹配模式和语法示例如下：

2.原始日志检索

因为原始日志存在于message字段中，故原始日志检索使用message字段检索原始字符串。

示例如下：

3.聚合统计检索

聚合统计检索使用管道符|进行检索，检索语法说明如下：

SQL的where子语句 | 统计方式

注意：不要用'|'作为值中的一个字符去查，跟分隔符冲突。

支持的模式和语法说明如下：