阿里云国际云服务器日志字段详细说明
2022-03-24
WAF详细记录网站域名的访问日志和攻防日志。日志中包含数十个字段,您可以根据不同需要选取特定的日志字段进行查询分析。下面快速云为你一一介绍阿里云国际云服务器WAF日志各个字段的释义。
| 字段 | 说明 | 取值示例 |
|---|---|---|
| __topic__ | 日志主题(Topic),该字段取值固定为waf_access_log,表示WAF日志。 | waf_access_log |
| acl_action | WAF精准访问控制规则的动作。取值:
|
pass |
| acl_blocks | 是否被精准访问控制规则拦截。取值:
|
1 |
| block_action | 触发拦截的WAF防护类型。取值:
|
final_plugin |
| body_bytes_sent | 发送给客户端的HTTP Body的字节数。 | 2 |
| cc_action | CC防护策略动作,例如none、challenge、pass、close、captcha、wait、login等。 | close |
| cc_blocks | 是否被CC防护功能拦截,包括:
|
1 |
| content_type | 访问请求内容类型。 | application/x-www-form-urlencoded |
| host | 源网站。 | api.aliyun.com |
| http_cookie | 访问请求头部中带有的访问来源客户端Cookie信息。 | k1=v1;k2=v2 |
| http_referer | 访问请求头部中带有的访问请求的来源URL信息。如果无来源URL信息,则显示-。 |
http://xyz.com |
| http_user_agent | 访问请求头部中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。 | Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10) |
| http_x_forwarded_for | 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 | – |
| https | 访问请求是否为HTTPS请求,包括:
|
true |
| matched_host | 匹配到的已接入WAF防护配置的域名,可能是泛域名。
说明 如果无法匹配到相关域名配置,则显示
-。 |
*.aliyun.com |
| querystring | 请求中的查询字符串。 | title=tm_content%3Darticle&pid=123 |
| real_client_ip | 访问请求的真实来源IP。如果无法获取到,则显示-。
说明 如果WAF前面有七层代理(高防或CDN等),返回XFF字段中的第一个IP。
|
1.2.3.4 |
| region | WAF实例地域信息。 | cn |
| remote_addr | 访问请求的客户端IP。
说明 如果WAF前面有七层代理(高防或CDN等),返回代理服务器的IP。
|
1.2.3.4 |
| remote_port | 访问请求的客户端端口。 | 3242 |
| request_length | 访问请求长度,单位为字节。 | 123 |
| request_method | 访问请求的HTTP请求方法。 | GET |
| request_path | 请求的相对路径(不包含查询字符串)。 | /news/search.php |
| request_time_msec | 访问请求时间,单位为毫秒。 | 44 |
| request_traceid | WAF记录的访问请求唯一ID标识。 | 7837b11715410386943437009ea1f0 |
| server_protocol | 源站服务器响应的协议及版本号。 | HTTP/1.1 |
| status | WAF返回给客户端的HTTP响应状态信息。 | 200 |
| time | 访问请求的发生时间。 | 2018-05-02T16:03:59+08:00 |
| ua_browser | 访问请求来源的浏览器信息。 | ie9 |
| ua_browser_family | 访问请求来源所属浏览器系列。 | internet explorer |
| ua_browser_type | 访问请求来源的浏览器类型。 | web_browser |
| ua_browser_version | 访问请求来源的浏览器版本。 | 9.0 |
| ua_device_type | 访问请求来源客户端的设备类型。 | computer |
| ua_os | 访问请求来源客户端的操作系统信息。 | windows_7 |
| ua_os_family | 访问请求来源客户端所属操作系统系列。 | windows |
| upstream_addr | WAF使用的回源地址列表,格式为IP:Port,多个地址用英文逗号(,)分隔。 |
1.2.3.4:443 |
| upstream_ip | 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。 | 1.2.3.4 |
| upstream_response_time | 源站响应WAF请求的时间,单位为秒。
说明 如果返回
-,表示响应超时。 |
0.044 |
| upstream_status | 源站返回给WAF的响应状态码。
说明 如果返回
-,表示没有响应,例如该请求被WAF拦截或源站响应超时。 |
200 |
| user_id | 阿里云账号AliUID。 | 12345678 |
| waf_action | Web攻击防护策略行为,包括:
|
block |
| web_attack_type | Web攻击类型,例如xss、code_exec、webshell、sqli、lfilei、rfilei、other等。 | xss |
| waf_rule_id | 匹配的WAF的相关规则ID。 | 100 |
相关阅读
-
阿里云国际云服务器如何查询和分析WAF日志
为阿里云国际云服务器的网站域名开启日志采集后,就可以在日志服务页面查询和分析网站的日志数据。下面由快速云为您详细介绍怎样通过WAF日志服务页面查询和分析日志的操作方法。 前提条件 已为接入WAF...
查看全文 -
阿里云国际云服务器如何开启日志采集
开通WAF日志服务后,下一步就是为已接入WAF防护的网站域名开启日志采集。只有开启日志采集,网站相关的日志数据才会自动存储到WAF专属日志库,并支持查询与分析。下面快速云将为您介绍阿里云国际云服务器开启日志...
查看全文 -
YunOS的另类市场:补位Android成为山寨厂商救星
如果用一个词来形容有“中国电子第一街”之称的深圳华强北电子市场,非“传奇”二字莫属。曾几何时,凭借低价以及独具创意的外观和功能,华强北的山寨机横扫全国:香烟手机、法拉利手机、足球手机、猪头手机等等...
查看全文 -
设计让生活更美好 你所看不到的YunOS背后的故事
对于许多人来说,工业设计师总有些些许神秘的色彩,并且常常与强迫症、完美主义者这样的词汇联系在一起。在外人眼中,他们站在时尚与科技前沿,有着敏锐的观察力,或光鲜亮丽或特立独行。然而在这群人光环的...
查看全文
您好!请登录