全部產品
Search

搜尋本產品

    Simple Log Service:Web Application Firewall

    文件中心

    Simple Log Service:Web Application Firewall

    更新時間:Jun 30, 2024

    本文介紹Web Application Firewall訪問日誌的欄位詳情。

    欄位

    說明

    __topic__

    日誌主題,固定為waf_access_log。

    owner_id

    阿里雲帳號ID。

    account_action

    用戶端請求命中的賬戶安全規則對應的防護動作。取值僅有block,表示攔截。更多資訊,請參見WAF防護動作(action)說明

    account_rule_id

    用戶端請求命中的賬戶安全規則的ID。

    account_test

    用戶端請求命中的賬戶安全規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    acl_action

    用戶端請求命中的IP地址黑名單、自訂防護策略(ACL存取控制)規則對應的防護動作。取值為block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、js_pass。更多資訊,請參見WAF防護動作(action)說明

    acl_rule_id

    用戶端請求命中的IP地址黑名單、自訂防護策略(ACL存取控制)規則的ID。

    acl_rule_type

    用戶端請求命中的IP地址黑名單、自訂防護策略(ACL存取控制)規則的類型。取值:

    • custom:自訂防護策略(ACL存取控制)規則。

    • blacklist:IP地址黑名單規則。

    acl_test

    用戶端請求命中的IP地址黑名單、自訂防護策略(ACL存取控制)規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    algorithm_rule_id

    用戶端請求命中的典型爬蟲行為識別規則的ID。

    antiscan_action

    用戶端請求命中的掃描防護規則對應的防護動作。取值僅有block,表示攔截。更多資訊,請參見WAF防護動作(action)說明

    antiscan_rule_id

    用戶端請求命中的掃描防護規則的ID。

    antiscan_rule_type

    用戶端請求命中的掃描防護規則的類型。取值:

    • highfreq:高頻Web攻擊封鎖規則。

    • dirscan:目錄遍曆防護規則。

    • scantools:掃描工具封鎖規則。

    • collaborative:協同防禦規則。

    antiscan_test

    用戶端請求命中的掃描防護規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    block_action

    觸發了攔截動作的WAF防護類型。詳細說明如下:

    重要

    由於WAF功能更新,該欄位已失效。新增final_plugin欄位用於替代該欄位。如果您在業務中使用了block_action,請儘快將其替換成final_plugin

    • tmd:CC攻擊防護。

    • waf:Web應用攻擊防護。

    • acl:精準存取控制。

    • deeplearning:深度學習引擎。

    • antiscan:掃描防護。

    • antifraud:Alibaba Antifraud Service。

    • antibot:防爬封鎖。

    body_bytes_sent

    用戶端請求體的位元組數。

    bypass_matched_ids

    用戶端請求命中的WAF允許存取類規則的ID,具體包括白名單規則、設定了允許存取動作的自訂防護策略規則。

    如果請求同時命中了多條允許存取類規則,該欄位會記錄所有命中的規則ID。多個規則ID間使用半形逗號(,)分隔。

    cc_action

    用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護動作。取值為block、captcha、js、captcha_pass和js_pass。更多資訊,請參見WAF防護動作(action)說明

    cc_blocks

    是否被CC防護功能攔截。取值:

    • 1表示攔截。

    • 其他值均表示通過。

    cc_rule_id

    用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的ID。

    cc_rule_type

    用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的類型。取值:

    • custom:自訂防護策略(CC攻擊防護)規則。

    • system:CC安全防護規則。

    cc_test

    用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    content_type

    被請求的內容類型。

    deeplearning_action

    用戶端請求命中的深度學習引擎規則對應的防護動作。取值僅有block,表示攔截。更多資訊,請參見WAF防護動作(action)說明

    deeplearning_rule_id

    用戶端請求命中的深度學習引擎規則的ID。

    deeplearning_rule_type

    用戶端請求命中的深度學習引擎規則的類型。取值:

    • xss:跨站指令碼防護規則。

    • code_exec:代碼執行防護規則。

    • webshell:webshell防護規則。

    • sqli:SQL注入防護規則。

    • lfilei:本地檔案包含防護規則。

    • rfilei:遠程檔案包含防護規則。

    • crlf:CRLF注入防護規則。

    • other:其他防護規則。

    deeplearning_test

    用戶端請求命中的深度學習引擎規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    dlp_rule_id

    用戶端請求命中的防敏感資訊泄露規則的ID。

    dlp_test

    用戶端請求命中的防敏感資訊泄露規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    final_rule_type

    WAF對用戶端請求最終應用的防防護規則(final_rule_id)的子類型。

    例如,在final_plugin:waf類型下有final_rule_type:sqlifinal_rule_type:xss等細分的規則類型。

    final_rule_id

    WAF對用戶端請求最終應用的防護規則的ID,即final_action對應的防護規則的ID。

    final_action

    WAF對用戶端請求最終執行的防護動作。取值為block、captcha_strict、captcha和js。更多資訊,請參見WAF防護動作(action)說明

    如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。

    如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作。防護動作的優先順序由高到低依次為:攔截(block) > 嚴格滑塊驗證(captcha_strict) > 普通滑塊驗證(captcha) > JS驗證(js)。

    final_plugin

    WAF對用戶端請求最終執行的防護動作(final_action)對應的防護模組。取值:

    • waf:規則防護引擎。

    • deeplearning:深度學習引擎。

    • dlp:防敏感資訊泄露。

    • account:賬戶安全。

    • normalized:主動防禦。

    • acl:IP地址黑名單、自訂防護策略(ACL存取控制)。

    • cc:CC安全防護、自訂防護策略(CC攻擊防護)。

    • antiscan:掃描防護。

    • scene:情境化配置。

    • antifraud:Alibaba Antifraud Service。

    • intelligence:爬蟲威脅情報。

    • algorithm:典型爬蟲行為識別。

    • wxbb:App防護。

    如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。

    如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作(final_action)對應的防護模組。

    host

    用戶端要求標頭部的Host欄位,表示被訪問的網域名稱(基於您的業務設定,也可能是IP地址)。

    http_cookie

    用戶端要求標頭部的Cookie欄位,表示訪問來源用戶端的Cookie資訊。

    http_referer

    用戶端要求標頭部的Referer欄位,表示請求的來源URL資訊。

    如果請求無來源URL資訊,則該欄位顯示短劃線(-)。

    http_user_agent

    用戶端要求標頭部的User-Agent欄位,包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。

    http_x_forwarded_for

    用戶端要求標頭部的X-Forwarded-For(XFF)欄位,用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。

    https

    訪問請求是否為HTTPS請求,取值:

    • true:HTTPS請求。

    • false:HTTP請求。

    matched_host

    匹配到的已接入WAF防護配置的網域名稱,可能是泛網域名稱。

    • 如果無法匹配到相關網域名稱配置,則顯示短劃線(-)。

    • 如果值為default,表示開啟透明接入後產生的流量,命中了透明WAF的預設防護。

    normalized_action

    用戶端請求命中的主動防禦規則對應的防護動作。取值為block和continue。更多資訊,請參見WAF防護動作(action)說明

    normalized_rule_id

    用戶端請求命中的主動防禦規則的ID。

    normalized_rule_type

    用戶端請求命中的主動防禦規則的類型。取值:

    • User-Agent:User-Agent基準規則(即要求標頭的User-Agent欄位不在基準範圍。其他規則類型的含義與此類似)。

    • Referer:Referer基準規則。

    • URL:URL基準規則。

    • Cookie:Cookie基準規則。

    • Body:Body基準規則。

    normalized_test

    用戶端請求命中的主動防禦規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    querystring

    用戶端請求中的查詢字串,具體指被請求URL中問號(?)後面的部分。

    real_client_ip

    WAF對用戶端請求進行分析後,判定發起該請求的真實用戶端IP地址,便於您在業務中直接使用。

    WAF無法判定真實用戶端IP地址時(例如,由於使用者通過Proxy 伺服器訪問、要求標頭中IP欄位有誤等),該欄位顯示短劃線(-)。

    region

    WAF執行個體的地區ID。取值:

    • cn:中國內地。

    • int:海外地區。

    remote_addr

    與WAF建立串連的IP地址。

    如果WAF與用戶端直接連接,該欄位等同於用戶端IP;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的IP地址。

    remote_port

    與WAF建立串連的連接埠。

    如果WAF與用戶端直接連接,該欄位等同於用戶端連接埠;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的連接埠。

    request_length

    用戶端請求的位元組數,包含請求行、要求標頭和請求體。單位:位元組。

    request_method

    用戶端請求的要求方法。

    request_path

    被請求的相對路徑,具體指被請求URL中網域名稱後面且問號(?)前面的部分(不包含查詢字串)。

    request_time_msec

    WAF處理用戶端請求所用的時間。單位:毫秒。

    request_traceid

    WAF為用戶端請求產生的唯一標識。

    scene_action

    用戶端請求命中的情境化配置規則對應的防護動作。取值為block、captcha、js、captcha_pass和js_pass。更多資訊,請參見WAF防護動作(action)說明

    scene_id

    用戶端請求命中的情境化配置規則對應的情境ID。

    scene_rule_id

    用戶端請求命中的情境化配置規則的ID。

    scene_rule_type

    用戶端請求命中的情境化配置規則的類型。取值:

    • bot_aialgo:AI智能防護規則。

    • js:簡單指令碼過濾規則。

    • intelligence:爬蟲威脅情報庫匹配、IDC黑名單封鎖規則。

    • sdk:App(已整合SDK)簽名異常、裝置特徵異常規則。

    • cc:IP限速、自訂會話限速規則。

    scene_test

    用戶端請求命中的情境化配置規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    server_port

    被請求的目的連接埠。

    server_protocol

    來源站點伺服器響應WAF回源請求的協議及版本號碼。

    status

    WAF響應用戶端請求的HTTP狀態代碼。

    ssl_cipher

    用戶端請求使用的加密套件。

    ssl_protocol

    用戶端請求使用的SSL/TLS協議和版本。

    time

    用戶端請求的發起時間。

    ua_browser

    發起請求的瀏覽器的名稱。

    ua_browser_family

    發起請求的瀏覽器所屬系列。

    ua_browser_type

    發起請求的瀏覽器的類型。

    ua_browser_version

    發起請求的瀏覽器的版本。

    ua_device_type

    發起請求的用戶端的裝置類型。

    ua_os

    發起請求的用戶端的作業系統類型。

    ua_os_family

    發起請求的用戶端所屬的作業系統系列。

    upstream_addr

    WAF使用的回源地址清單,格式為IP:Port。

    多個地址之間以英文逗號(,)分隔。

    upstream_response_time

    來源站點響應WAF請求的時間,單位:秒。

    如果返回短劃線(-),表示響應逾時。

    upstream_status

    來源站點返回給WAF的響應狀態。

    如果返回短劃線(-),表示沒有響應,例如該請求被WAF攔截。

    user_id

    當前WAF執行個體所屬的阿里雲帳號ID。

    waf_action

    用戶端請求命中的規則防護引擎規則對應的防護動作。取值僅有block,表示攔截。更多資訊,請參見WAF防護動作(action)說明

    waf_test

    用戶端請求命中的規則防護引擎規則對應的防護模式。取值:

    • true:觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

    • false:防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

    waf_rule_id

    用戶端請求命中的規則防護引擎規則的ID。

    waf_rule_type

    用戶端請求命中的規則防護引擎規則的類型。取值:

    • xss:跨站指令碼防護規則。

    • code_exec:代碼執行防護規則。

    • webshell:webshell防護規則。

    • sqli:SQL注入防護規則。

    • lfilei:本地檔案包含防護規則。

    • rfilei:遠程檔案包含防護規則。

    • crlf:CRLF注入防護規則。

    • other:其他防護規則。