Unduh dan pahami field log akses dan WAF - Edge Security Acceleration

Alibaba Cloud Dynamic Content Delivery Network (DCDN) mencatat akses domain dan peristiwa pemblokiran Web Application Firewall (WAF) setiap jam. Anda dapat mengunduh log untuk domain tertentu pada hari tertentu dalam 30 hari terakhir ke PC lokal Anda untuk analisis.

Catatan penggunaan

Penggunaan lalu lintas nama domain yang dipercepat, diquery menggunakan fitur pemantauan atau penggunaan sumber daya di konsol DCDN, atau dengan memanggil operasi API, berbeda dari yang dikumpulkan dalam log. Secara umum, penggunaan lalu lintas nama domain yang dipercepat yang diquery melalui fitur pemantauan atau penggunaan sumber daya adalah 1,1 kali dari yang tercatat dalam log. Untuk informasi lebih lanjut, lihat Mengapa jumlah lalu lintas yang ditemukan menggunakan fitur analitik pemantauan dan penggunaan atau fitur statistik penggunaan berbeda dari jumlah lalu lintas yang dicatat?
Dalam hal pemantauan sumber daya, data dikumpulkan berdasarkan wilayah dan ISP alamat IP klien. Dalam hal pengukuran, biaya dihitung berdasarkan lalu lintas jaringan, bandwidth, dan jumlah permintaan pada titik kehadiran (POPs) DCDN di setiap wilayah yang dapat ditagih. Data pemantauan sumber daya dan data pengukuran mungkin sedikit berbeda karena metode pengumpulan yang berbeda.
Beberapa penyedia layanan internet (ISP) mungkin memberikan alamat IP pribadi kepada klien di wilayah tertentu. Oleh karena itu, POP mungkin menerima permintaan dari alamat IP pribadi.
Catatan
Alamat IP pribadi memiliki jenis-jenis berikut:
- Jenis-A alamat IP pribadi: 10.0.0.0 hingga 10.255.255.255. Subnet mask: 10.0.0.0/8.
- Jenis-B alamat IP pribadi: 172.16.0.0 hingga 172.31.255.255. Subnet mask: 172.16.0.0/12.
- Jenis-C alamat IP pribadi: 192.168.0.0 hingga 192.168.255.255. Subnet mask: 192.168.0.0/16.

Unduhan log

Keterlambatan pembaruan log: Dalam sebagian besar kasus, data log dihasilkan dalam waktu 24 jam setelah suatu peristiwa terjadi. Dalam beberapa kasus, mungkin membutuhkan waktu lebih lama.
Aturan penamaan file log: domainName_tahun_bulan_hari_waktuMulai_waktuAkhir[bidangEkstensi].gz. Bidang ekstensi dimulai dengan garis bawah (_). Contoh: aliyundoc.com_2018_10_30_000000_010000_xx.gz.
Catatan
Nama file log tertentu mungkin tidak mengandung bidang ekstensi. Contoh: aliyundoc.com_2018_10_30_000000_010000.gz.

Bidang dalam log akses

Contoh entri log

[9/Jun/2015:01:58:09 +0800] 10.10.10.10 - 1542 "-" "GET http://www.aliyun.com/index.html" 200 191 2830 MISS "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://example.com/robot/)" "text/html" 1.1.1.1

Bidang

Bidang	Deskripsi
`[9/Jun/2015:01:58:09 +0800]`	Waktu akhir permintaan akses pengguna.
`10.10.10.10`	Alamat IP pertama dalam header X-Forwarded-For yang dibawa dalam permintaan, yaitu client_ip. Jika klien tidak menggunakan proxy untuk terhubung ke node DCDN, ini sama dengan alamat IP yang digunakan oleh klien untuk terhubung ke node DCDN. Catatan Format header permintaan X-Forwarded-For adalah `X-Forwarded-For: <client_ip>, <proxy_ip>`. Jika klien tidak menggunakan proxy untuk terhubung ke node DCDN (artinya header X-Forwarded-For hanya berisi <client_ip>), nilai <client_ip> dalam log mungkin merupakan alamat IP pribadi. Alasan umum adalah bahwa penyedia layanan internet (ISP) mengalokasikan alamat IP pribadi kepada klien untuk mengurangi penggunaan alamat IP publik dan biaya. Mengingat header X-Forwarded-For dapat dipalsukan, kami sarankan Anda menggunakan remote_ip dalam Bidang log untuk analisis log dan konfigurasi aturan WAF untuk memblokir alamat IP buruk. Ini karena remote_ip menunjukkan alamat IP klien nyata yang digunakan untuk terhubung ke DCDN.
`-`	Alamat IP kedua dalam header X-Forwarded-For yang dibawa dalam permintaan, yaitu proxy_ip. Jika klien tidak menggunakan proxy untuk terhubung ke node CDN, nilai kosong direpresentasikan sebagai `-`.
`1542`	Waktu respons. Satuan: milidetik.
`"-"`	Header Referer dalam permintaan HTTP.
`GET`	Metode permintaan. Contohnya GET, POST, PUT, atau DELETE.
`http://www.aliyun.com/index.html`	URL permintaan.
`200`	Kode status HTTP. Contoh umum termasuk 200, 403, 404, dan 500.
`191`	Ukuran permintaan. Satuan: byte.
`2830`	Ukuran respons. Satuan: byte.
`MISS`	Status cache hit. HIT: Permintaan mengenai sumber daya yang disimpan di cache pada node tepi DCDN (tidak perlu mengambil dari asal). MISS: Konten yang diminta tidak disimpan di cache pada node tepi DCDN dan perlu diambil dari upstream (yang bisa berupa node L2 DCDN atau server asal). Alibaba Cloud DCDN saat ini hanya menyediakan informasi log dari node tepi DCDN, tidak termasuk informasi asal dari node L2 DCDN. Oleh karena itu, ketika bidang ini adalah MISS, Anda tidak dapat memperoleh informasi asal, dan tidak dapat langsung melihat dari log apakah permintaan pengguna diteruskan ke asal.
`Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://example.com/robot/)`	Header User-Agent.
`text/html`	Ini adalah tipe halaman web. Catatan Log nama domain yang Anda aktifkan rencana sumber daya global tidak mengandung bidang ini.
`1.1.1.1`	Alamat IP yang digunakan untuk terhubung ke DCDN.

Catatan

Bidang lainnya:

DYNAMIC: Ini adalah permintaan dinamis.
CHARGE: Permintaan tersebut dikenakan biaya.
NOTLAST: Bidang cadangan, yang tidak memiliki arti.

Bidang dalam log WAF

Contoh entri log

[16/May/2023:10:36:09 +0800] HEAD "http" api.aliyun.com "/block" "_dyc=89e7639543f17ddbe77361c56b9952b9" "-" api.aliyun.com 3d30530216842045692847280e 403 "-" "curl/7.29.0" "-" 1.XX.XX.1 1.XX.XX.1 false "-" deny "custom_acl" 20000014

Bidang

Bidang	Contoh	Deskripsi
unixtime	`[16/May/2023:10:36:09 +0800]`	Waktu ketika permintaan diinisiasi.
method	`HEAD`	Metode permintaan.
scheme	`http`	Protokol yang digunakan untuk mengirim permintaan.
domain	`api.aliyun.com`	Nama domain tempat permintaan dikirim.
uri	`/block`	Sumber daya yang diminta.
uri_param	`_dyc=89e7639543f17ddbe77361c56b9952b9`	Parameter permintaan.
content_type	`-`	Tipe konten yang diminta.
matched_host	`api.aliyun.com`	Nama domain yang dilindungi oleh WAF.
request_id	`3d30530216842045692847280e`	ID permintaan.
return_code	`403`	Kode status HTTP yang dikembalikan.
referer	`-`	Header Referer dalam permintaan HTTP.
user_agent	`curl/7.29.0`	Informasi tentang proxy klien.
x_forwarded_for	`-`	Header X-Forwarded-For (XFF). Bidang ini digunakan untuk mengidentifikasi alamat IP asal klien yang terhubung ke server web menggunakan proxy HTTP atau layanan load balancing.
client_ip	`1.XX.XX.1`	Alamat IP asal klien.
remote_addr	`1.XX.XX.1`	Alamat IP klien.
final_test	`FALSE`	Menunjukkan bahwa mode pemantauan tidak cocok.
cookie	`-`	Header Cookie HTTP. Bidang ini berisi informasi tentang klien.
final_action	`deny`	Tindakan perlindungan yang dilakukan. block: Permintaan diblokir oleh modul perlindungan web dasar. deny: Permintaan diblokir oleh modul selain modul perlindungan web dasar. captcha: Permintaan diverifikasi menggunakan CAPTCHA geser. js: Permintaan diverifikasi menggunakan JavaScript. String kosong: Permintaan tidak diblokir. Tidak ada aturan perlindungan yang terpicu, aturan daftar putih atau aturan pemantauan terpicu, atau permintaan diizinkan setelah klien lulus verifikasi CAPTCHA geser atau verifikasi JavaScript. Catatan Jika suatu permintaan memicu beberapa modul perlindungan pada saat yang sama, bidang ini dicatat dan hanya mencakup tindakan akhir yang dilakukan. Tindakan berikut terdaftar dalam urutan prioritas menurun: block, verifikasi CAPTCHA geser, autentikasi berbasis token dinamis, dan verifikasi JavaScript.
final_plugin	`custom_acl`	Modul perlindungan yang cocok. Jika final_action dikonfigurasi, bidang ini menentukan modul perlindungan yang sesuai dengan tindakan akhir terhadap permintaan. Jika final_action dibiarkan kosong, bidang ini menentukan informasi tentang modul semua aturan perlindungan yang terpicu oleh permintaan. Jika aturan yang terpicu tidak termasuk dalam modul aturan daftar putih atau aturan perlindungan web dasar dan nama modul diakhiri dengan "-T", permintaan memenuhi aturan pemantauan modul tersebut. Bidang ini mungkin memiliki beberapa nilai yang dipisahkan oleh koma (,). Nilai yang valid: whitelist: Modul daftar putih cocok. waf: Modul perlindungan web dasar cocok. custom_acl: Modul aturan kustom cocok. ip_blacklist: Modul daftar hitam IP cocok. region_block: Modul daftar hitam wilayah cocok. bot: Modul manajemen bot cocok. anti_scan: Modul perlindungan pemindaian cocok.
final_rule_id	`20000014`	Aturan perlindungan yang cocok. Jika final_action dikonfigurasi, bidang ini hanya menentukan ID aturan perlindungan yang diterapkan pada permintaan. Jika final_action dibiarkan kosong, bidang ini menentukan informasi ID semua aturan perlindungan yang terpicu oleh permintaan. Dalam hal ini, nilai final_rule_id berformat sebagai berikut: moduleName-protectionRuleID(-T). Untuk aturan daftar putih atau aturan perlindungan web dasar yang cocok, bidang ini tidak mengandung "-T". Untuk aturan perlindungan lainnya selain aturan daftar putih atau aturan perlindungan web dasar, jika bidang ini mengandung "-T", aturan tersebut adalah tipe pemantauan. Bidang ini mungkin memiliki beberapa nilai yang dipisahkan oleh koma (,).

Prosedur

Masuk ke DCDN console.
Di panel navigasi sebelah kiri, pilih Data Center > Logs > Standard Logs.
Pada tab Log Download, pilih nama domain dan tanggal, lalu klik Search.
Temukan file log yang ingin Anda unduh dan klik Download di kolom Actions.

Operasi API terkait

DescribeDcdnDomainLog: Menanyakan alamat tempat Anda dapat mengunduh log standar dari domain tertentu.