本文介绍网站域名的访问日志和攻防日志的字段详情。
| 字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为waf_access_log。 |
| acl_action | WAF精准访问控制规则行为,例如pass、drop、captcha等。 当值为空或短划线(-)时,也表示pass,即放行。 |
| block_action | 触发拦截的WAF防护类型,包括:
|
| body_bytes_sent | 发送给客户端的HTTP Body的字节数。 |
| cc_action | CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。 |
| cc_blocks | 是否被CC防护功能拦截,其中:
|
| content_type | 访问请求内容类型。 |
| host | 源网站。 |
| http_cookie | 访问来源客户端Cookie信息。 |
| http_referer | 访问请求的来源URL信息。如果无来源URL信息,则显示短划线(-)。 |
| http_user_agent | 请求头中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。 |
| http_x_forwarded_for | 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
| https | 是否为HTTPS请求,其中:
|
| matched_host | 匹配到的源站,可能是泛域名。如果未匹配,则显示为短划线(-)。 |
| querystring | 请求中的查询字符串。 |
| real_client_ip | 访问客户的真实IP地址。如果获取不到,则显示为短划线(-)。 |
| region | WAF实例所属地域。 |
| remote_addr | 请求连接的客户端IP地址。 |
| remote_port | 请求连接的客户端端口号。 |
| request_length | 请求长度,单位为字节。 |
| request_method | 访问请求的HTTP请求方法。 |
| request_path | 请求的相对路径(不包含查询字符串)。 |
| request_time_msec | 访问请求时间,单位为毫秒。 |
| request_traceid | WAF记录的访问请求唯一ID标识。 |
| server_protocol | 源站服务器响应的协议及版本号。 |
| status | WAF返回给客户端的HTTP响应状态信息。 |
| time | 请求的发生时间。 |
| ua_browser | 请求来源的浏览器信息。 |
| ua_browser_family | 请求来源的浏览器系列。 |
| ua_browser_type | 请求来源的浏览器类型。 |
| ua_browser_version | 请求来源的浏览器版本。 |
| ua_device_type | 请求来源客户端的设备类型。 |
| ua_os | 请求来源客户端的操作系统信息。 |
| ua_os_family | 请求来源客户端所属操作系统系列。 |
| upstream_addr | WAF使用的回源地址列表,格式为IP:Port,多个地址用半角逗号(,)分隔。 |
| upstream_response_time | 源站响应WAF请求的时间,单位秒。如果返回短划线(-),表示响应超时。 |
| upstream_status | 源站返回给WAF的响应状态。如果返回短划线(-),表示没有响应,例如该请求被WAF拦截或源站响应超时。 |
| user_id | 阿里云账号ID。 |
| waf_action | Web攻击防护策略行为,其中:
|
| bypass_matched_ids | 客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。 如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用英文逗号(,)分隔。 |
| final_plugin | WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。 如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。 |
| final_action | WAF对客户端请求最终执行的防护动作。 如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block)、严格滑块校验(captcha_strict)、 普通滑块校验(captcha)和 JS校验(js)。 |
| final_rule_id | WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。 |
| final_rule_type | WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。例如在final_plugin:waf类型下有final_rule_type:sqli、final_rule_type:xss等细分的规则类型。 |
| waf_rule_id | 匹配的WAF的相关规则ID。 |
| waf_rule_type | WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。 例如在 |
| acl_rule_type | 客户端请求命中的IP黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:
|
| cc_rule_id | CC攻击规则拦截ID。 |
| cc_rule_type | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:
|
| ssl_cipher | SSL加密套件。 |
| ssl_protocol | SSL协议版本。 |