本文介绍Web应用防火墙访问日志的字段详情。

字段 说明
__topic__ 日志主题,固定为waf_access_log。
owner_id 阿里云账号ID
acl_action WAF精准访问控制规则行为,例如pass、drop、captcha。

空值或短划线(-)也表示pass。

block_action 触发拦截的WAF防护类型,详细说明如下:
  • tmd:CC攻击防护
  • waf:Web应用攻击防护
  • acl:精准访问控制
  • geo:地域封禁
  • antifraud:数据风控
  • antibot:防爬封禁
body_bytes_sent 发送给客户端的HTTP Body字节数
cc_action CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。
cc_blocks 是否被CC防护功能拦截,包括:
  • 1表示拦截。
  • 其他值均表示通过。
content_type 访问请求内容类型
host 源站服务器
http_cookie 访问请求头部中带有的访问来源客户端Cookie信息
http_referer 访问请求头部中带有的访问请求的来源URL信息。如果无来源URL信息,则显示为短划线(-)。
http_user_agent 访问请求头部中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。
http_x_forwarded_for 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
https 访问请求是否为HTTPS请求,包括:
  • true:HTTPS请求
  • false:HTTP请求
matched_host 匹配到的已接入WAF防护配置的域名,可能是泛域名。如果无法匹配到相关域名配置,则显示短划线(-)。
querystring 请求中的查询字符串
real_client_ip 访问的客户端的真实IP地址。如果无法获取,则显示为短划线(-)。
threat_real_client_ip 访问客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段
region WAF实例地域信息
remote_addr 访问请求的客户端IP地址
remote_port 访问请求的客户端端口
request_length 访问请求长度,单位:字节。
request_method 访问请求的HTTP请求方法
request_path 请求的相对路径(不包含查询字符串)
request_time_msec 访问请求时间,单位:毫秒。
request_traceid WAF记录的访问请求唯一ID标识
server_protocol 源站服务器响应的协议及版本号
status WAF返回给客户端的HTTP响应状态信息
time 访问请求发生的时间
ua_browser 访问请求来源的浏览器信息
ua_browser_family 访问请求来源所属浏览器系列
ua_browser_type 访问请求来源的浏览器类型
ua_browser_version 访问请求来源的浏览器版本
ua_device_type 访问请求来源客户端的设备类型
ua_os 访问请求来源客户端的操作系统信息
ua_os_family 访问请求来源客户端所属操作系统系列
upstream_addr WAF使用的回源地址列表,格式为IP:Port。

多个地址之间以英文逗号(,)分隔。

upstream_response_time 源站响应WAF请求的时间,单位:秒。

如果返回短划线(-),表示响应超时。

upstream_status 源站返回给WAF的响应状态。

如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。

user_id 阿里云账号ID
waf_action Web攻击防护策略行为。包括:
  • block表示拦截。
  • by pass或其它值均表示放行。
bypass_matched_ids 客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。

如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号(,)分隔。

final_plugin WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。

final_action WAF对客户端请求最终执行的防护动作。

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block)、严格滑块校验(captcha_strict)、普通滑块校验(captcha)和JS校验(js)。

final_rule_id WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。
final_rule_type WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。例如在final_plugin:waf类型下有final_rule_type:sqli、final_rule_type:xss等细分的规则类型。
waf_rule_id 匹配的WAF的相关规则ID
waf_rule_type WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。

例如在final_plugin:waf类型下有final_rule_type:sqlifinal_rule_type:xss等细分的规则类型。

acl_rule_type 客户端请求命中的IP黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:
  • custom:表示自定义防护策略(ACL访问控制)规则。
  • blacklist:表示IP黑名单规则。
cc_rule_id CC攻击规则拦截ID。
cc_rule_type 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:
  • custom:表示自定义防护策略(CC攻击防护)规则。
  • system:表示CC安全防护规则。
ssl_cipher SSL加密套件
ssl_protocol SSL协议版本