云防火墙详细记录出方向和入方向的流量日志。日志中包含多个字段,您可以根据需要选取相应的日志字段进行查询分析。

字段名称 含义及说明 取值示例
__time__ 操作时间。 2018-02-27 11:58:15
__topic__ 日志的主题。取值固定为cloudfirewall_access_log,表示云防火墙的流量日志。 cloudfirewall_access_log
log_type 日志的类型。取值固定为internet_log,表示互联网流量日志。 internet_log
aliuid 阿里云账号ID。 1233333333****
app_name 访问流量的应用名称。取值:HTTPSNTPSIPSMBNFSDNSUnknown(协议为未知类型)。 HTTPS
direction 流量的方向。取值:
  • in:入方向,表示来自互联网的其他资源或内网中的其他ECS访问您的ECS服务器。
  • out:出方向,表示您的ECS服务器主动访问互联网上的其他资源或内网中的其他ECS。
in
domain 域名。 www.aliyun.com
dst_ip 访问流量的目的IP。 1.XX.XX.1
dst_port 访问流量的目的端口。 443
end_time 会话结束时间。使用Unix时间戳格式表示,单位:秒。 1555399260
in_bps 入方向总流量的大小。单位:bit/s 11428
in_packet_bytes 入方向总流量的字节数。 2857
in_packet_count 入方向总流量的报文数。 18
in_pps 入方向总流量的包数量。单位:packet/s。 9
ip_protocol IP协议类型。取值:TCPUDP TCP
out_bps 出方向总流量的大小。单位:bit/s。 27488
out_packet_bytes 出方向总流量的字节数。 6872
out_packet_count 出方向总流量的报文数。 15
out_pps 出方向总流量的大小。单位:packet/s。 7
region_id 访问流量所属的地域ID。关于不同地域ID的含义,请参见支持的地域 cn-beijing
rule_result 访问流量命中云防火墙访问控制规则的结果。取值:
  • pass:允许流量通过云防火墙。
  • alert:对该流量通过云防火墙提供告警提示。
  • drop:丢弃流量,不允许该访问流量通过云防火墙。
pass
src_ip 访问流量的源IP。 1.XX.XX.1
src_port 访问流量的源端口,即发出流量数据的主机端口。 47915
start_time 会话开始时间。使用Unix时间戳格式表示,单位:秒。 1555399258
start_time_min 会话开始时间,分钟取整数。使用Unix时间戳格式表示,单位:分钟。 1555406460
tcp_seq TCP序列号。 3883676672
total_bps 出入方向访问总流量的大小。单位:bit/s。 38916
total_packet_bytes 出入方向的访问总流量。单位:byte。 9729
total_packet_count 出入方向总流量的报文数。 33
total_pps 出入方向访问总流量的大小。单位:packet/s。 16
vul_level 漏洞风险等级。取值:
  • 1:表示低危漏洞。
  • 2:表示中危漏洞。
  • 3:表示高危漏洞。
1
url 您服务器访问的外部网页的地址。 http://www.test.com/index.html
src_private_ip 出方向访问流量中,源ECS服务器的私网IP地址。 192.168.0.0
acl_rule_id 访问流量命中的ACL规则的ID。 073a1475-6e11-43e2-8b28-98cee9c688c0
ips_rule_id 访问流量命中的IPS规则的ID。 073a1475-6e11-43e2-8b28-98cee9c688c0
ips_ai_rule_id 访问流量命中的AI规则的ID。 073a1475-6e11-43e2-8b28-98cee9c688c0
ips_rule_name 访问流量命中的IPS规则的中文名称。 主机存在挖矿行为
ips_rule_name_en 访问流量命中的IPS规则的英文名称。 Mining behavior on the host
attack_type_name 访问流量中包含的攻击类型的中文名称。 挖矿行为
attack_type_name_en 访问流量中包含的攻击类型的英文名称。 Mining Behavior