上网行为管理日志疑问

某用户出口使用上网行为管理网桥部署做审计，最近用户反馈某安全应急小组通报他们的公网IP有攻击行为，因此用户希望能通过上网行为管理查到是哪个内网IP进行的攻击。
如下图源IP:91.64为用户出口NAT的公网IP； 33.211为被攻击的服务器IP。


通过在上网行为管理上查询用户所有上网日志（目标IP为被攻击服务器的IP),发现并没有任何信息


查看上网审计策略，发现在《未识别的网络应用》没勾， 那么问题1：如果是勾了该选项能否解决这个该用户遇到的这种情况？？？



之后又查找了防火墙日志，同样的选择过滤目的IP为被攻击的服务器IP地址，动作为所有，方向为所有。但依然没有任何日志。


查看防火墙规则允许LAN_WAN的规则中，记录日志已经是启用的了，那么问题2：为什么在数据中心查询不到LAN_WAN的日志？防火墙规则里的日志启用是什么意思 ？

你可以把设备的防dos攻击启用起来，然后观察设备的系统日志 如果真有攻击行为 在系统日志里面就会显示出来的

根据截图，可以分析出，楼主AC是网桥部署模式，且攻击行为是基于TCP协议的HTTP攻击，那么给出以下建议进行配置，首先配置安全防护中的网关杀毒模块，如图：

，

关于楼主的两个问题，为识别应用勾选是可以审计到除了AC应用库中所包含的应用以外的应用数据；防火墙过滤规则未拒绝无日志

上网审计策略，《未识别的网络应用》打上勾应该就能发现，提示里不是说明了，能记录IP和端口麻，只要记录了IP和端口，就能追查。

您好 请问您那边网络里面是否有防火墙设备呢？看了您的描述，ac在这个网络里面要实现这个需求不大适合，需要借助安全相关的防火墙设备来解决的
谢谢

网络防护方面AC不强，还是要靠防火墙实现。