云防火墙详细记录出方向和入方向的流量日志。日志中包含多个字段,您可以根据需要选取相应的日志字段进行查询分析。

字段名称 含义及说明 取值示例
__time__ 操作时间。 2018-02-27 11:58:15
__topic__ 日志的主题。取值固定为cloudfirewall_access_log,表示云防火墙的流量日志。 cloudfirewall_access_log
acl_rule_id 访问流量命中的ACL规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
aliuid 阿里云账号ID。 1233333333****
app_name 访问流量的应用名称。取值:HTTPSNTPSIPSMBNFSDNSUnknown(协议为未知类型)。 HTTPS
attack_type_name 访问流量中包含的攻击类型的中文名称。 挖矿行为
attack_type_name_en 访问流量中包含的攻击类型的英文名称。 Mining Behavior
country_id 国家或地区。 CN
direction 流量的方向。取值:
  • in:入方向,表示来自互联网的其他资源或内网中的其他ECS访问您的ECS服务器。
  • out:出方向,表示您的ECS服务器主动访问互联网上的其他资源或内网中的其他ECS。
in
domain 域名。 www.aliyundoc.com
dst_ip 访问流量的目的IP。 1.XX.XX.1
dst_port 访问流量的目的端口。 443
end_time 会话结束时间。使用Unix时间戳格式表示,单位:秒。 1555399260
in_bps 入方向总流量的大小。单位:bit/s。 11428
in_packet_bytes 入方向总流量。单位:byte。 2857
in_packet_count 入方向总流量。单位:byte。 18
in_pps 入方向总流量的包数量。单位:packet/s。 9
ip_protocol IP协议类型。取值:
  • tcp
  • udp
  • icmp
tcp
ips_ai_rule_id 访问流量命中的AI规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
ips_rule_id 访问流量命中的IPS规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
ips_rule_name 访问流量命中的IPS规则的中文名称。 主机存在挖矿行为
ips_rule_name_en 访问流量命中的IPS规则的英文名称。 Mining behavior on the host
log_type 日志类型。 vpc_firewall_log
out_bps 出方向总流量的大小。单位:bit/s。 27488
out_packet_bytes 出方向总流量。单位:byte。 6872
out_packet_count 出方向总流量的报文数。 15
out_pps 出方向总流量的大小。单位:packet/s。 7
proxy_acl_rule_id NAT防火墙ACL规则ID。 073a1475-6e11-43e2-8b28-98cee9c6****
region_id 访问流量所属的地域ID。关于不同地域ID的含义,请参见支持的地域 cn-beijing
rule_result 访问流量命中云防火墙访问控制规则的结果。取值:
  • pass:允许流量通过云防火墙。
  • alert:对该流量通过云防火墙提供告警提示。
  • drop:丢弃流量,不允许该访问流量通过云防火墙。
pass
src_ip 访问流量的源IP。 1.XX.XX.1
src_port 访问流量的源端口,即发出流量数据的主机端口。 47915
src_private_ip 出方向访问流量中,源ECS服务器的私网IP地址。
说明 如果是NAT EIP的私网IP,那么该字段为空。如果要查看NAT EIP的私网IP,需要先开启NAT防火墙。
192.168.0.0
start_time 会话开始时间。使用Unix时间戳格式表示,单位:秒。 1555399258
start_time_min 会话开始时间,分钟取整数。使用Unix时间戳格式表示,单位:分钟。 1555406460
tcp_seq TCP序列号。 388367****
total_bps 出入方向访问总流量的大小。单位:bit/s。 38916
total_packet_bytes 出入方向的访问总流量。单位:byte。 9729
total_packet_count 出入方向总流量的报文数。 33
total_pps 出入方向访问总流量的大小。单位:packet/s。 16
url 您服务器访问的外部网页的地址。 http://aliyundoc.com/index.html
vul_level 漏洞风险等级。取值:
  • 1:表示低危漏洞。
  • 2:表示中危漏洞。
  • 3或者0:表示高危漏洞。
1