WAF详细记录网站域名的访问、攻防日志。日志中包含数十个字段,您可以根据不同需要选取特定的日志字段进行查询分析。

字段 说明 示例
__topic__ 日志主题(Topic),该字段值固定为waf_access_log。 waf_access_log
acl_action WAF精准访问控制规则行为,例如pass、drop、captcha等。
说明 其中,空值或 -值也表示pass,即放行。
pass
acl_blocks 是否被精准访问控制规则拦截,其中:
  • 1:表示拦截。
  • 其他值均表示通过。
1
antibot 触发的爬虫风险管理防护策略类型,包括:
  • ratelimit:频次控制
  • sdk:APP端增强防护
  • algorithm:算法模型
  • intelligence:爬虫情报
  • acl:精准访问控制
  • blacklist:黑名单
ratelimit
antibot_action 爬虫风险管理防护策略执行的操作,包括:
  • challenge:嵌入JS进行验证
  • drop:拦截
  • report:记录
  • captcha:滑块验证
challenge
block_action 触发拦截的WAF防护类型,包括:
  • tmd:CC攻击防护
  • waf:Web应用攻击防护
  • acl:精准访问控制
  • geo:地区封禁
  • antifraud:数据风控
  • antibot:防爬封禁
tmd
body_bytes_sent 发送给客户端的HTTP Body的字节数。 2
cc_action CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。 close
cc_blocks 是否被CC防护功能拦截,其中:
  • 1:表示拦截。
  • 其他值均表示通过。
1
cc_phase 触发的CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、 server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。 server_ip_blacklist
content_type 访问请求内容类型。 application/x-www-form-urlencoded
host 源网站。 api.aliyun.com
http_cookie 访问请求头部中带有的访问来源客户端Cookie信息。 k1=v1;k2=v2
http_referer 访问请求头部中带有的访问请求的来源URL信息。若无来源URL信息,则显示- http://xyz.com
http_user_agent 访问请求头部中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。 Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)
http_x_forwarded_for 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 -
https 访问请求是否为HTTPS请求,其中:
  • true:HTTPS请求。
  • false:HTTP请求。
true
matched_host 匹配到的已接入WAF防护配置的域名,可能是泛域名。若无法匹配到相关域名配置,则显示- *.aliyun.com
querystring 请求中的查询字符串。 title=tm_content%3Darticle&pid=123
real_client_ip 访问的客户端的真实IP。若无法获取到,则显示- 1.2.3.4
region WAF实例地域信息。 cn
remote_addr 访问请求的客户端IP。 1.2.3.4
remote_port 访问请求的客户端端口。 3242
request_length 访问请求长度,单位字节。 123
request_method 访问请求的HTTP请求方法。 GET
request_path 请求的相对路径(不包含查询字符串)。 /news/search.php
request_time_msec 访问请求时间,单位为毫秒。 44
request_traceid WAF记录的访问请求唯一ID标识。 7837b11715410386943437009ea1f0
server_protocol 源站服务器响应的协议及版本号。 HTTP/1.1
status WAF返回给客户端的HTTP响应状态信息。 200
time 访问请求的发生时间。 2018-05-02T16:03:59+08:00
ua_browser 访问请求来源的浏览器信息。 ie9
ua_browser_family 访问请求来源所属浏览器系列。 internet explorer
ua_browser_type 访问请求来源的浏览器类型。 web_browser
ua_browser_version 访问请求来源的浏览器版本。 9.0
ua_device_type 访问请求来源客户端的设备类型。 computer
ua_os 访问请求来源客户端的操作系统信息。 windows_7
ua_os_family 访问请求来源客户端所属操作系统系列。 windows
upstream_addr WAF使用的回源地址列表,格式为IP:Port,多个地址用逗号分隔。 1.2.3.4:443
upstream_ip 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。 1.2.3.4
upstream_response_time 源站响应WAF请求的时间,单位秒。如果返回“-”,代表响应超时。 0.044
upstream_status 源站返回给WAF的响应状态。如果返回“-”,表示没有响应(例如该请求被WAF拦截或源站响应超时)。 200
user_id 阿里云账号AliUID。 12345678
waf_action Web攻击防护策略行为,包括:
  • block:表示拦截
  • bypass或其它值均表示放行
block
web_attack_type Web攻击类型,例如xss、code_exec、webshell、sqli、lfilei、rfilei、other等。 xss
waf_rule_id 匹配的WAF的相关规则ID。 100