H3C SecPath W2000-AK445 訪問日誌不記錄

1. 日誌記錄問題排查

1.1 檢查日誌配置

• 確認日誌主機配置：
  • 在 係統 > 日誌設置 > Web應用防護日誌 中勾選“輸出快速日誌”。
  • 在 係統 > 日誌設置 > 基本配置 > 快速日誌 中配置日誌主機IP，並勾選“Web應用防護日誌”。
  • 確保日誌主機的接收服務（如Syslog）正常運行，防火牆未攔截日誌流量。

1.2 本地存儲檢查

• 在 係統 > 日誌設置 > 本地日誌存儲 中確認是否開啟本地存儲。
• 檢查設備磁盤空間是否充足（日誌存儲路徑為logfile目錄）。

• 2. SQL注入不攔截問題排查

  2.1 防護策略與規則

  • 檢查防護策略：
    • 在 規則 > Web安全策略 中確認是否啟用“SQL注入防護”規則。
    • 確保規則動作設置為阻斷（默認可能為“允許並記錄”）。
  • 自定義規則啟用：
    • 若使用預定義規則（如CVE編號），需在自定義策略中手動啟用相關規則（參考故障處理手冊步驟7）。

  2.2 特征庫更新

  • 通過 display waf signature library 檢查特征庫版本是否為最新。
    • 若版本過舊，需升級特征庫（舊版本可能無法識別新攻擊特征）。

  2.3 流量路徑與會話

  • 檢查會話表：
    • 使用 display session table 確認攻擊流量經過WAF設備，且匹配了正確的安全域和策略。
  • 抓包驗證：
    • 在設備上抓包（如通過tcpdump）確認攻擊報文是否到達WAF，並檢查報文是否符合攔截規則。

  2.4 加密流量處理

  • 若攻擊流量為HTTPS：
    • WAF需配置SSL解密策略（如反向代理模式需上傳服務器證書）。
    • 若流量在LB設備卸載SSL，需確保明文流量傳遞給WAF（參考案例某局點防火牆IPS特征無命中問題）。

  ---

  3. 通用故障處理

  3.1 License狀態

  • 確認設備License未過期，且包含WAF功能授權。

  3.2 引擎狀態

  • 執行 display inspect status 確認DPI引擎狀態為normal。
  • 若規則未生效，通過 inspect activate 重新激活引擎。

  3.3 日誌調試

  • 開啟調試日誌：
    • 通過 debugging waf 或 debugging ips 查看實時檢測日誌。
  • 收集日誌和配置反饋至H3C技術支持（若問題仍無法定位）。

  ---

  4. 參考案例

  • 日誌停止記錄：可能因日誌存儲滿、配置變更或接口模式錯誤（如trunk模式未適配VLAN）。
  • 不攔截攻擊：常見於規則未啟用、特征庫過舊或流量未命中策略（如加密流量未解密）。

  通過上述步驟，可係統性定位日誌記錄和防護失效的根本原因。若仍無法解決，建議聯係H3C技術支持並提供完整診斷信息（display diagnostic-information）。