本文介绍云防火墙的互联网边界防火墙流量日志和VPC边界防火墙流量日志的字段详情。

互联网边界防火墙流量日志

日志字段 说明
__topic__ 日志主题,固定为cloudfirewall_access_log。
owner_id 阿里云账号ID
log_type 日志类型,固定为internet_log。
app_name 访问流量应用的协议名称,例如HTTPS、NTP、SIP、SMB、NFS、DNS等,未知时为Unknown。
direction 流量的方向,包括:
  • in:入方向
  • out:出方向
domain 域名
dst_ip 目的IP地址
dst_port 目的端口
end_time 会话结束时间,Unix时间戳格式,单位:秒。
in_bps 入流量大小,单位:bps。
in_packet_bytes 入流量总字节数
in_packet_count 入流量总报文数
in_pps 入流量大小,单位:pps。
ip_protocol IP协议类型,支持TCP或UDP协议。
out_bps 出方向流量大小,单位:bps。
out_packet_bytes 出方向总流量字节数
out_packet_count 出方向报文数
out_pps 出方向流量大小,单位:pps。
region_id 访问流量所属的地域
rule_result 命中规则结果,包括:
  • pass:通过
  • alert:告警
  • drop:丢弃
src_ip 源IP地址
src_port 源端口,流量数据发出的主机端口
start_time 会话开始时间,Unix时间戳,单位:秒。
start_time_min 会话开始时间的分钟取整,Unix时间戳,单位:秒。
tcp_seq TCP序列号
total_bps 出入方向访问总流量的大小,单位:bps。
total_packet_bytes 出入方向的访问总流量,单位:字节。
total_packet_count 总流量,以报文数表示。
total_pps 出入方向访问总流量的大小,单位:pps。
src_private_ip 私网IP地址
vul_level 漏洞风险等级,包括:
  • 1:低危
  • 2:中危
  • 3:高危
url URL地址
acl_rule_id 命中ACL的规则ID
ips_rule_id 命中IPS的规则ID
ips_ai_rule_id 命中AI的规则ID
ips_rule_name 命中IPS的规则名称(中文)
ips_rule_name_en 命中IPS的规则名称(英文)
attack_type_name 攻击类型的名称(中文)
attack_type_name_en 攻击类型的名称(英文)
proxy_acl_rule_id 命中正向代理ACL的规则ID

VPC边界防火墙流量日志

日志字段 说明
__topic__ 主题,固定为cloudfirewall_vpc_log。
log_type 日志类型,固定为vpc_firewall_log。
aliuid 阿里云账号ID
app_name 应用名。值可能为HTTPS、NTP、SIP、SMB、NFS、DNS等,未知时为Unknown。
domain 域名
dst_ip 目的IP地址
dst_port 目的端口
dst_region 目的地域ID
dst_network_instance_id 目的网络实例ID,可能为VPC、VBR、CCN的网络实例ID。
end_time 会话结束时间,Unix时间戳格式,单位:秒。
firewall_id VPC防火墙ID。
  • 云企业网场景下,显示的是云企业网ID,例如cen-6srj4tvjjovhbc。
  • 高速通道场景下,显示的是防火墙实例ID,例如vfw-123。
in_bps 入流量大小,单位:bps。
in_packet_bytes 入流量总子节数
in_packet_count 入流量总报文数
in_pps 入流量大小,单位:pps。
ip_protocol IP协议类型,TCP或UDP。
out_bps 出方向流量大小,单位:bps。
out_packet_bytes 出方向总流量字节数
out_packet_count 出方向报文数
out_pps 出方向流量大小,单位:pps。
rule_result 命中规则结果。包括:
  • pass:通过
  • alert:告警
  • drop:丢弃
src_ip 源IP地址
src_port 源端口
src_region 源地域ID
src_network_instance_id 源网络实例ID,可能为VPC、VBR、CCN的网络实例ID。
start_time 会话开始时间,Unix时间戳格式,单位:秒。
start_time_min 会话开始时间的分钟取整,Unix时间戳格式,单位:秒。
tcp_seq TCP序列号
total_bps 总流量大小,单位:bps。
total_packet_bytes 流量总字节数,单位:字节。
total_packet_count 流量总报文数
total_pps 总流量大小,单位:pps。
vul_level 漏洞风险等级,包括:
  • 1:低危
  • 2:中危
  • 3:高危
ips_rule_name 命中IPS规则中文名称
ips_rule_name_en 命中IPS规则英文名称
attack_type_name 攻击类型中文名称
attack_type_name_en 攻击类型英文名称