本文介绍Web应用防火墙访问日志的字段详情。
| 字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为waf_access_log。 |
| owner_id | 阿里云账号ID。 |
| account_action | 客户端请求命中的账户安全规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
| account_rule_id | 客户端请求命中的账户安全规则的ID。 |
| account_test | 客户端请求命中的账户安全规则对应的防护模式。取值:
|
| acl_action | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护动作。取值为block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、js_pass。更多信息,请参见WAF防护动作(action)说明。 |
| acl_rule_id | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的ID。 |
| acl_rule_type | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:
|
| acl_test | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护模式。取值:
|
| algorithm_rule_id | 客户端请求命中的典型爬虫行为识别规则的ID。 |
| antiscan_action | 客户端请求命中的扫描防护规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
| antiscan_rule_id | 客户端请求命中的扫描防护规则的ID。 |
| antiscan_rule_type | 客户端请求命中的扫描防护规则的类型。取值:
|
| antiscan_test | 客户端请求命中的扫描防护规则对应的防护模式。取值:
|
| block_action | 触发了拦截动作的WAF防护类型。详细说明如下:重要 由于WAF功能升级,该字段已失效。新增final_plugin字段用于替代该字段。如果您在业务中使用了block_action,请尽快将其替换成final_plugin。
|
| body_bytes_sent | 客户端请求体的字节数。 |
| bypass_matched_ids | 客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。
如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号(,)分隔。 |
| cc_action | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明。 |
| cc_blocks | 是否被CC防护功能拦截。取值:
|
| cc_rule_id | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的ID。 |
| cc_rule_type | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:
|
| cc_test | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护模式。取值:
|
| content_type | 被请求的内容类型。 |
| deeplearning_action | 客户端请求命中的深度学习引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
| deeplearning_rule_id | 客户端请求命中的深度学习引擎规则的ID。 |
| deeplearning_rule_type | 客户端请求命中的深度学习引擎规则的类型。取值:
|
| deeplearning_test | 客户端请求命中的深度学习引擎规则对应的防护模式。取值:
|
| dlp_rule_id | 客户端请求命中的防敏感信息泄露规则的ID。 |
| dlp_test | 客户端请求命中的防敏感信息泄露规则对应的防护模式。取值:
|
| final_rule_type | WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。
例如,在 |
| final_rule_id | WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。 |
| final_action | WAF对客户端请求最终执行的防护动作。取值为block、captcha_strict、captcha和js。更多信息,请参见WAF防护动作(action)说明。
如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block) > 严格滑块验证(captcha_strict) > 普通滑块验证(captcha) > JS验证(js)。 |
| final_plugin | WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。取值:
您可以在Web应用防火墙控制台的防护配置 > 网站防护页面,配置以上防护模块。关于不同防护模块的介绍,请参见网站防护配置概述。 如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。 |
| host | 客户端请求头部的Host字段,表示被访问的域名(基于您的业务设置,也可能是IP地址)。 |
| http_cookie | 客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
| http_referer | 客户端请求头部的Referer字段,表示请求的来源URL信息。
如果请求无来源URL信息,则该字段显示短划线(-)。 |
| http_user_agent | 客户端请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
| http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
| https | 访问请求是否为HTTPS请求,取值:
|
| matched_host | 匹配到的已接入WAF防护配置的域名,可能是泛域名。
|
| normalized_action | 客户端请求命中的主动防御规则对应的防护动作。取值为block和continue。更多信息,请参见WAF防护动作(action)说明。 |
| normalized_rule_id | 客户端请求命中的主动防御规则的ID。 |
| normalized_rule_type | 客户端请求命中的主动防御规则的类型。取值:
|
| normalized_test | 客户端请求命中的主动防御规则对应的防护模式。取值:
|
| querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
| real_client_ip | WAF对客户端请求进行分析后,判定发起该请求的真实客户端IP地址,便于您在业务中直接使用。
WAF无法判定真实客户端IP地址时(例如,由于用户通过代理服务器访问、请求头中IP字段有误等),该字段显示短划线(-)。 |
| threat_real_client_ip | 访问客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段。 |
| region | WAF实例的地域ID。取值:
|
| remote_addr | 与WAF建立连接的IP地址。
如果WAF与客户端直接连接,该字段等同于客户端IP;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的IP地址。 |
| remote_port | 与WAF建立连接的端口。
如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的端口。 |
| request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:字节。 |
| request_method | 客户端请求的请求方法。 |
| request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
| request_time_msec | WAF处理客户端请求所用的时间。单位:毫秒。 |
| request_traceid | WAF为客户端请求生成的唯一标识。 |
| scene_action | 客户端请求命中的场景化配置规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明。 |
| scene_id | 客户端请求命中的场景化配置规则对应的场景ID。 |
| scene_rule_id | 客户端请求命中的场景化配置规则的ID。 |
| scene_rule_type | 客户端请求命中的场景化配置规则的类型。取值:
|
| scene_test | 客户端请求命中的场景化配置规则对应的防护模式。取值:
|
| server_port | 被请求的目的端口。 |
| server_protocol | 源站服务器响应WAF回源请求的协议及版本号。 |
| status | WAF响应客户端请求的HTTP状态码。 |
| ssl_cipher | 客户端请求使用的加密套件。 |
| ssl_protocol | 客户端请求使用的SSL/TLS协议和版本。 |
| time | 客户端请求的发起时间。 |
| ua_browser | 发起请求的浏览器的名称。 |
| ua_browser_family | 发起请求的浏览器所属系列。 |
| ua_browser_type | 发起请求的浏览器的类型。 |
| ua_browser_version | 发起请求的浏览器的版本。 |
| ua_device_type | 发起请求的客户端的设备类型。 |
| ua_os | 发起请求的客户端的操作系统类型。 |
| ua_os_family | 发起请求的客户端所属的操作系统系列。 |
| upstream_addr | WAF使用的回源地址列表,格式为IP:Port。
多个地址之间以英文逗号(,)分隔。 |
| upstream_response_time | 源站响应WAF请求的时间,单位:秒。
如果返回短划线(-),表示响应超时。 |
| upstream_status | 源站返回给WAF的响应状态。
如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。 |
| user_id | 当前WAF实例所属的阿里云账号ID。 |
| waf_action | 客户端请求命中的规则防护引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
| waf_test | 客户端请求命中的规则防护引擎规则对应的防护模式。取值:
|
| waf_rule_id | 客户端请求命中的规则防护引擎规则的ID。 |
| waf_rule_type | 客户端请求命中的规则防护引擎规则的类型。取值:
|
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/163189.html
