本文介绍Web应用防火墙访问日志的字段详情。

字段 说明
__topic__ 日志主题,固定为waf_access_log。
owner_id 阿里云账号ID。
account_action 客户端请求命中的账户安全规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明
account_rule_id 客户端请求命中的账户安全规则的ID。
account_test 客户端请求命中的账户安全规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
acl_action 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护动作。取值为block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、js_pass。更多信息,请参见WAF防护动作(action)说明
acl_rule_id 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的ID。
acl_rule_type 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:
  • custom:自定义防护策略(ACL访问控制)规则。
  • blacklist:IP地址黑名单规则。
acl_test 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
algorithm_rule_id 客户端请求命中的典型爬虫行为识别规则的ID。
antiscan_action 客户端请求命中的扫描防护规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明
antiscan_rule_id 客户端请求命中的扫描防护规则的ID。
antiscan_rule_type 客户端请求命中的扫描防护规则的类型。取值:
  • highfreq:高频Web攻击封禁规则。
  • dirscan:目录遍历防护规则。
  • scantools:扫描工具封禁规则。
  • collaborative:协同防御规则。
antiscan_test 客户端请求命中的扫描防护规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
block_action 触发了拦截动作的WAF防护类型。详细说明如下:
注意 由于WAF功能升级,该字段已失效。新增final_plugin字段用于替代该字段。如果您在业务中使用了block_action,请尽快将其替换成final_plugin
  • tmd:CC攻击防护。
  • waf:Web应用攻击防护。
  • acl:精准访问控制。
  • deeplearning:深度学习引擎。
  • antiscan:扫描防护。
  • antifraud:数据风控。
  • antibot:防爬封禁。
body_bytes_sent 发送给客户端的HTTP Body字节数。
bypass_matched_ids 客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。

如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号(,)分隔。

cc_action 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明
cc_blocks 是否被CC防护功能拦截。取值:
  • 1表示拦截。
  • 其他值均表示通过。
cc_rule_id 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的ID。
cc_rule_type 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:
  • custom:自定义防护策略(CC攻击防护)规则。
  • system:CC安全防护规则。
cc_test 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
content_type 被请求的内容类型。
deeplearning_action 客户端请求命中的深度学习引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明
deeplearning_rule_id 客户端请求命中的深度学习引擎规则的ID。
deeplearning_rule_type 客户端请求命中的深度学习引擎规则的类型。取值:
  • xss:跨站脚本防护规则。
  • code_exec:代码执行防护规则。
  • webshell:webshell防护规则。
  • sqli:SQL注入防护规则。
  • lfilei:本地文件包含防护规则。
  • rfilei:远程文件包含防护规则。
  • crlf:CRLF注入防护规则。
  • other:其他防护规则。
deeplearning_test 客户端请求命中的深度学习引擎规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
dlp_rule_id 客户端请求命中的防敏感信息泄露规则的ID。
dlp_test 客户端请求命中的防敏感信息泄露规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
final_rule_type WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。

例如,在final_plugin:waf类型下有final_rule_type:sqlifinal_rule_type:xss等细分的规则类型。

final_rule_id WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。
final_action WAF对客户端请求最终执行的防护动作。取值为block、captcha_strict、captcha和js。更多信息,请参见WAF防护动作(action)说明

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block) > 严格滑块验证(captcha_strict) > 普通滑块验证(captcha) > JS验证(js)。

final_plugin WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。取值:
  • waf:规则防护引擎。
  • deeplearning:深度学习引擎。
  • dlp:防敏感信息泄露。
  • account:账户安全。
  • normalized:主动防御。
  • acl:IP地址黑名单、自定义防护策略(ACL访问控制)。
  • cc:CC安全防护、自定义防护策略(CC攻击防护)。
  • antiscan:扫描防护。
  • scene:场景化配置。
  • antifraud:数据风控。
  • intelligence:爬虫威胁情报。
  • algorithm:典型爬虫行为识别。
  • wxbb:App防护。

您可以在Web应用防火墙控制台防护配置 > 网站防护页面,配置以上防护模块。关于不同防护模块的介绍,请参见网站防护配置概述

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。

host 客户端请求头部的Host字段,表示被访问的域名(基于您的业务设置,也可能是IP地址)。
http_cookie 客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。
http_referer 客户端请求头部的Referer字段,表示请求的来源URL信息。

如果请求无来源URL信息,则该字段显示短划线(-)。

http_user_agent 客户端请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。
http_x_forwarded_for 客户端请求头部的X-Forwarded_For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
https 访问请求是否为HTTPS请求,取值:
  • true:HTTPS请求。
  • false:HTTP请求。
matched_host 匹配到的已接入WAF防护配置的域名,可能是泛域名。如果无法匹配到相关域名配置,则显示短划线(-)。
normalized_action 客户端请求命中的主动防御规则对应的防护动作。取值为block和continue。更多信息,请参见WAF防护动作(action)说明
normalized_rule_id 客户端请求命中的主动防御规则的ID。
normalized_rule_type 客户端请求命中的主动防御规则的类型。取值:
  • User-Agent:User-Agent基线规则(即请求头的User-Agent字段不在基线范围。其他规则类型的含义与此类似)。
  • Referer:Referer基线规则。
  • URL:URL基线规则。
  • Cookie:Cookie基线规则。
  • Body:Body基线规则。
normalized_test 客户端请求命中的主动防御规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
querystring 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。
real_client_ip WAF对客户端请求进行分析后,判定发起该请求的真实客户端IP地址,便于您在业务中直接使用。

WAF无法判定真实客户端IP地址时(例如,由于用户通过代理服务器访问、请求头中IP字段有误等),该字段显示短划线(-)。

region WAF实例的地域ID。取值:
  • cn:中国内地。
  • int:海外地区。
remote_addr 与WAF建立连接的IP地址。

如果WAF与客户端直接连接,该字段等同于客户端IP;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的IP地址。

remote_port 与WAF建立连接的端口。

如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的端口。

request_length 客户端请求的字节数,包含请求行、请求头和请求体。单位:字节。
request_method 客户端请求的请求方法。
request_path 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。
request_time_msec WAF处理客户端请求所用的时间。单位:毫秒。
request_traceid WAF为客户端请求生成的唯一标识。
scene_action 客户端请求命中的场景化配置规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明
scene_id 客户端请求命中的场景化配置规则对应的场景ID。
scene_rule_id 客户端请求命中的场景化配置规则的ID。
scene_rule_type 客户端请求命中的场景化配置规则的类型。取值:
  • bot_aialgo:AI智能防护规则。
  • js:简单脚本过滤规则。
  • intelligence:爬虫威胁情报库匹配、IDC黑名单封禁规则。
  • sdk:App(已集成SDK)签名异常、设备特征异常规则。
  • cc:IP限速、自定义会话限速规则。
scene_test 客户端请求命中的场景化配置规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
server_port 被请求的目的端口。
server_protocol 源站服务器响应WAF回源请求的协议及版本号。
status WAF响应客户端请求的HTTP状态码。
ssl_cipher 客户端请求使用的加密套件。
ssl_protocol 客户端请求使用的SSL/TLS协议和版本。
time 客户端请求的发起时间。
ua_browser 发起请求的浏览器的名称。
ua_browser_family 发起请求的浏览器所属系列。
ua_browser_type 发起请求的浏览器的类型。
ua_browser_version 发起请求的浏览器的版本。
ua_device_type 发起请求的客户端的设备类型。
ua_os 发起请求的客户端的操作系统类型。
ua_os_family 发起请求的客户端所属的操作系统系列。
upstream_addr WAF使用的回源地址列表,格式为IP:Port。

多个地址之间以英文逗号(,)分隔。

upstream_response_time 源站响应WAF请求的时间,单位:秒。

如果返回短划线(-),表示响应超时。

upstream_status 源站返回给WAF的响应状态。

如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。

user_id 当前WAF实例所属的阿里云账号ID。
waf_action 客户端请求命中的规则防护引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明
waf_test 客户端请求命中的规则防护引擎规则对应的防护模式。取值:
  • true:观察模式,即仅记录日志,不触发拦截等防护动作。
  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。
waf_rule_id 客户端请求命中的规则防护引擎规则的ID。
waf_rule_type 客户端请求命中的规则防护引擎规则的类型。取值:
  • xss:跨站脚本防护规则。
  • code_exec:代码执行防护规则。
  • webshell:webshell防护规则。
  • sqli:SQL注入防护规则。
  • lfilei:本地文件包含防护规则。
  • rfilei:远程文件包含防护规则。
  • crlf:CRLF注入防护规则。
  • other:其他防护规则。