Web应用防火墙

本文介绍Web应用防火墙访问日志的字段详情。

字段

说明

__topic__

日志主题,固定为waf_access_log。

owner_id

阿里云账号ID。

account_action

客户端请求命中的账户安全规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明

account_rule_id

客户端请求命中的账户安全规则的ID。

account_test

客户端请求命中的账户安全规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

acl_action

客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护动作。取值为block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、js_pass。更多信息,请参见WAF防护动作(action)说明

acl_rule_id

客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的ID。

acl_rule_type

客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:

  • custom:自定义防护策略(ACL访问控制)规则。

  • blacklist:IP地址黑名单规则。

acl_test

客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

algorithm_rule_id

客户端请求命中的典型爬虫行为识别规则的ID。

antiscan_action

客户端请求命中的扫描防护规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明

antiscan_rule_id

客户端请求命中的扫描防护规则的ID。

antiscan_rule_type

客户端请求命中的扫描防护规则的类型。取值:

  • highfreq:高频Web攻击封禁规则。

  • dirscan:目录遍历防护规则。

  • scantools:扫描工具封禁规则。

  • collaborative:协同防御规则。

antiscan_test

客户端请求命中的扫描防护规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

block_action

触发了拦截动作的WAF防护类型。详细说明如下:

重要

由于WAF功能升级,该字段已失效。新增final_plugin字段用于替代该字段。如果您在业务中使用了block_action,请尽快将其替换成final_plugin

  • tmd:CC攻击防护。

  • waf:Web应用攻击防护。

  • acl:精准访问控制。

  • deeplearning:深度学习引擎。

  • antiscan:扫描防护。

  • antifraud:数据风控。

  • antibot:防爬封禁。

body_bytes_sent

客户端请求体的字节数。

bypass_matched_ids

客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。

如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号(,)分隔。

cc_action

客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明

cc_blocks

是否被CC防护功能拦截。取值:

  • 1表示拦截。

  • 其他值均表示通过。

cc_rule_id

客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的ID。

cc_rule_type

客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:

  • custom:自定义防护策略(CC攻击防护)规则。

  • system:CC安全防护规则。

cc_test

客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

content_type

被请求的内容类型。

deeplearning_action

客户端请求命中的深度学习引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明

deeplearning_rule_id

客户端请求命中的深度学习引擎规则的ID。

deeplearning_rule_type

客户端请求命中的深度学习引擎规则的类型。取值:

  • xss:跨站脚本防护规则。

  • code_exec:代码执行防护规则。

  • webshell:webshell防护规则。

  • sqli:SQL注入防护规则。

  • lfilei:本地文件包含防护规则。

  • rfilei:远程文件包含防护规则。

  • crlf:CRLF注入防护规则。

  • other:其他防护规则。

deeplearning_test

客户端请求命中的深度学习引擎规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

dlp_rule_id

客户端请求命中的防敏感信息泄露规则的ID。

dlp_test

客户端请求命中的防敏感信息泄露规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

final_rule_type

WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。

例如,在final_plugin:waf类型下有final_rule_type:sqlifinal_rule_type:xss等细分的规则类型。

final_rule_id

WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。

final_action

WAF对客户端请求最终执行的防护动作。取值为block、captcha_strict、captcha和js。更多信息,请参见WAF防护动作(action)说明

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block) > 严格滑块验证(captcha_strict) > 普通滑块验证(captcha) > JS验证(js)。

final_plugin

WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。取值:

  • waf:规则防护引擎。

  • deeplearning:深度学习引擎。

  • dlp:防敏感信息泄露。

  • account:账户安全。

  • normalized:主动防御。

  • acl:IP地址黑名单、自定义防护策略(ACL访问控制)。

  • cc:CC安全防护、自定义防护策略(CC攻击防护)。

  • antiscan:扫描防护。

  • scene:场景化配置。

  • antifraud:数据风控。

  • intelligence:爬虫威胁情报。

  • algorithm:典型爬虫行为识别。

  • wxbb:App防护。

如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。

host

客户端请求头部的Host字段,表示被访问的域名(基于您的业务设置,也可能是IP地址)。

http_cookie

客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。

http_referer

客户端请求头部的Referer字段,表示请求的来源URL信息。

如果请求无来源URL信息,则该字段显示短划线(-)。

http_user_agent

客户端请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。

http_x_forwarded_for

客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。

https

访问请求是否为HTTPS请求,取值:

  • true:HTTPS请求。

  • false:HTTP请求。

matched_host

匹配到的已接入WAF防护配置的域名,可能是泛域名。

  • 如果无法匹配到相关域名配置,则显示短划线(-)。

  • 如果值为default,表示开启透明接入后产生的流量,命中了透明WAF的默认防护。

normalized_action

客户端请求命中的主动防御规则对应的防护动作。取值为block和continue。更多信息,请参见WAF防护动作(action)说明

normalized_rule_id

客户端请求命中的主动防御规则的ID。

normalized_rule_type

客户端请求命中的主动防御规则的类型。取值:

  • User-Agent:User-Agent基线规则(即请求头的User-Agent字段不在基线范围。其他规则类型的含义与此类似)。

  • Referer:Referer基线规则。

  • URL:URL基线规则。

  • Cookie:Cookie基线规则。

  • Body:Body基线规则。

normalized_test

客户端请求命中的主动防御规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

querystring

客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。

real_client_ip

WAF对客户端请求进行分析后,判定发起该请求的真实客户端IP地址,便于您在业务中直接使用。

WAF无法判定真实客户端IP地址时(例如,由于用户通过代理服务器访问、请求头中IP字段有误等),该字段显示短划线(-)。

threat_real_client_ip

访问客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段

region

WAF实例的地域ID。取值:

  • cn:中国内地。

  • int:海外地区。

remote_addr

与WAF建立连接的IP地址。

如果WAF与客户端直接连接,该字段等同于客户端IP;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的IP地址。

remote_port

与WAF建立连接的端口。

如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的端口。

request_length

客户端请求的字节数,包含请求行、请求头和请求体。单位:字节。

request_method

客户端请求的请求方法。

request_path

被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。

request_time_msec

WAF处理客户端请求所用的时间。单位:毫秒。

request_traceid

WAF为客户端请求生成的唯一标识。

scene_action

客户端请求命中的场景化配置规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明

scene_id

客户端请求命中的场景化配置规则对应的场景ID。

scene_rule_id

客户端请求命中的场景化配置规则的ID。

scene_rule_type

客户端请求命中的场景化配置规则的类型。取值:

  • bot_aialgo:AI智能防护规则。

  • js:简单脚本过滤规则。

  • intelligence:爬虫威胁情报库匹配、IDC黑名单封禁规则。

  • sdk:App(已集成SDK)签名异常、设备特征异常规则。

  • cc:IP限速、自定义会话限速规则。

scene_test

客户端请求命中的场景化配置规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

server_port

被请求的目的端口。

server_protocol

源站服务器响应WAF回源请求的协议及版本号。

status

WAF响应客户端请求的HTTP状态码。

ssl_cipher

客户端请求使用的加密套件。

ssl_protocol

客户端请求使用的SSL/TLS协议和版本。

time

客户端请求的发起时间。

ua_browser

发起请求的浏览器的名称。

ua_browser_family

发起请求的浏览器所属系列。

ua_browser_type

发起请求的浏览器的类型。

ua_browser_version

发起请求的浏览器的版本。

ua_device_type

发起请求的客户端的设备类型。

ua_os

发起请求的客户端的操作系统类型。

ua_os_family

发起请求的客户端所属的操作系统系列。

upstream_addr

WAF使用的回源地址列表,格式为IP:Port。

多个地址之间以英文逗号(,)分隔。

upstream_response_time

源站响应WAF请求的时间,单位:秒。

如果返回短划线(-),表示响应超时。

upstream_status

源站返回给WAF的响应状态。

如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。

user_id

当前WAF实例所属的阿里云账号ID。

waf_action

客户端请求命中的规则防护引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明

waf_test

客户端请求命中的规则防护引擎规则对应的防护模式。取值:

  • true:观察模式,即仅记录日志,不触发拦截等防护动作。

  • false:防护模式,WAF对命中防护规则的请求执行拦截等防护动作。

waf_rule_id

客户端请求命中的规则防护引擎规则的ID。

waf_rule_type

客户端请求命中的规则防护引擎规则的类型。取值:

  • xss:跨站脚本防护规则。

  • code_exec:代码执行防护规则。

  • webshell:webshell防护规则。

  • sqli:SQL注入防护规则。

  • lfilei:本地文件包含防护规则。

  • rfilei:远程文件包含防护规则。

  • crlf:CRLF注入防护规则。

  • other:其他防护规则。