前幾篇說完可以防護第七層攻擊的WAF規則和一些測試動作，這一篇要來談談「事件查詢」。

事件概覽

「事件概覽」也就是Log，會按照時間順序詳細記錄所有的訪問請求，裡面的資訊包含：

• 事件的時間
• 觸發的WAF規則
• 事件發生的詳細原因
• 請求IP
• 請求表頭等
  (圖示：「事件概覽」可以看見被訪問的域名、時間、觸發的WAF動作、詳細原因、請求IP、請求國家等重要訊息。）
  

事件查詢

「事件概覽」提供「事件查詢」的功能，讓我們可以根據需求隨時查詢和監控所有可疑的請求，以確保網站的安全。我們可以根據用戶提供的錯誤頁面資訊，在事件查詢的頁面欄位中輸入CaseID去查找相對應的Log資訊。此外平台提供「模糊搜尋」的查詢方式提供更大的搜索範圍和容錯性，讓我們可以更有效地尋找出想要的資訊。

進階搜尋

除了可以利用輸入事件ID的方式去搜尋以外，還可以在「進階搜尋」裡面去篩選更細節的資訊，如下圖所示，「進階搜尋」裡面各個條件的判斷方式是「AND」，也就是說輸入的篩選條件越多，就能查詢到越精確的資訊。我們可以根據觸發了WAF的什麼動作、請求IP、來訪的國家和HTTP狀態碼去做搜尋。下圖中我們列了一些狀態搜尋的範例，搭配AND、OR、NOT等邏輯運算子去篩選出想要的資訊，例如想要搜尋HTTP Code 2XX與3XX以外的資訊，可以輸入[NOT (2* 3*)]。

範例說明

①「進階搜尋」篩選「狀態」NOT 200之後的顯示Log資訊

假設我想要查看沒有成功請求的資訊，在「進階搜尋」的「狀態」欄位輸入[NOT 200]，就可以篩選掉所有HTTP Code 200的資訊。(如圖示)

②「進階搜尋」篩選「動作」Period之後顯示的Log資訊

或者我想要查看所有被WAF規則給Block Period的請求，可以在「進階搜尋」的「動作」欄位選擇Period，則列表呈現出來的資訊就全部都是被Block Period規則阻擋下來的Log。(如圖示)這個情況可以用在當我們提供CDN服務時，如果遇到正常的用戶因為訪問太多次被Block Period給限制，導致無法正常開啟網站的話，我們可以請用戶提供請求IP，並在「進階搜尋」的動作選擇Period，就可以順利找到被阻擋的資訊，並為其解除鎖定。

結論

總體而言，事件查詢這個功能滿好用的，「模糊搜尋」和「進階搜尋」的功能也很棒！可以提高我們的搜尋效率。但是要注意的是，經過我們的測試發現事件概覽這個功能也有它的限制，例如事件概覽只能保留兩天的Log資訊，經過詢問他們的技術人員後，得到的答案是「保留現在時間的過去48小時的Log資訊」。另外篩選出來符合條件的Logs最多只能顯示一萬筆。事件查詢的功能就介紹到這裡，下一篇我們將會說明回源政策。