安全事件¶
Website Defender 在检测到威胁时记录安全事件,提供所有自动安全操作的集中视图。
事件类型¶
| 类型 | 说明 | 触发条件 |
|---|---|---|
auto_ban |
IP 被自动封禁 | 威胁检测阈值被触发 |
brute_force |
检测到暴力破解 | 过多的登录失败尝试 |
scan_detected |
检测到路径扫描 | 单个 IP 产生过多 404 响应 |
js_challenge_fail |
JS 挑战验证失败 | 无效或被篡改的挑战响应 |
管理后台¶
管理后台的安全事件页面提供:
统计概览¶
- 总事件数 -- 所有安全事件的累计数量
- 自动封禁(24h) -- 过去 24 小时内的自动 IP 封禁数量
- 高威胁 IP -- 威胁评分最高的 IP
- 事件类型分布 -- 按类型划分的事件分布
事件列表¶
可筛选、分页的安全事件列表,包含:
- 事件类型
- 客户端 IP 地址
- 详情/原因
- 时间戳
筛选功能¶
- 按事件类型 -- 筛选
auto_ban、brute_force、scan_detected或js_challenge_fail - 按客户端 IP -- 搜索特定 IP 的事件
- 按时间范围 -- 限定特定时间段
数据保留¶
超过 90 天的安全事件会被自动删除。清理任务在后台定期运行。
事件缓冲¶
为保证性能,安全事件在内存中缓冲(最多 500 条),每 5 秒批量写入数据库。这避免了在高流量攻击场景下对数据库的频繁写入。
API 访问¶
| 方法 | 路径 | 说明 | 鉴权 |
|---|---|---|---|
GET |
/security-events |
查询安全事件列表(支持分页和筛选) | 是 |
GET |
/security-events/stats |
获取安全事件统计数据 | 是 |
相关页面¶
- 威胁检测 -- 威胁如何被检测和评分
- Webhook 通知 -- 在安全事件发生时获取通知
- IP 黑白名单 -- 查看和管理自动封禁的 IP
- 访问日志 -- 请求级别的日志记录