实时日志采集字段的名称及含义_全站加速-阿里云帮助中心

开通实时日志服务后，您可以根据本文的表格查看不同类型的日志中所采集字段的名称和含义。

说明

您可以自行选择投递下表字段，为了降低数据成本，建议仅选择实际所需的字段进行投递。
单个日志类型下的所有投递任务共用一套字段。在一个任务下做的字段编辑会全局生效。例如用户访问日志默认勾选domain字段。如果用户在某一个任务下去掉了domain字段，该字段会立即从其它的“用户访问日志”投递任务中去除。

注意事项

若A域名需要从账号1迁移到账号2，需先关闭A域名在账号1下的实时日志投递，待A域名迁移至账号2后，在账号2上重新创建A域名的实时日志投递。如未操作以上实时日志的关闭和新创建的动作，实时日志将持续向账号1投递日志并计费。

用户访问日志字段

开通用户访问日志服务后，您可以根据以下表格查看用户访问日志中采集字段的含义。


字段名称	字段含义	是否建立SLS索引	是否作为内置可视化分析的字段
unixtime	请求时间。	是	是
domain	请求的域名。	是	是
method	请求方法。	是	是
scheme	请求协议。	是	否
uri	请求资源。	是	是
uri_param	请求参数。	是	否
client_ip	最终用户的真实IP，可以是公网IP或局域网IP。	是	是
proxy_ip	代理IP。	是	否
remote_ip	与DCDN节点直接连接的公网IP。	是	否
remote_port	和DCDN节点直接连接公网端口。	是	否
refer_protocol	HTTP Referer中的协议。	是	否
refer_domain	HTTP Referer中domain信息。	是	是
refer_uri	HTTP Referer中URI信息。	是	否
refer_param	HTTP Referer中的参数信息。	是	否
request_size	请求大小（包体+头部），单位：字节。	是	否
request_time	请求响应时间，单位：毫秒。	是	是
response_size	请求返回大小，单位：字节。	是	否
return_code	请求响应码。	是	是
sent_http_content_range	应答头里表示的Range信息（由源站创建），如bytes：0~99/200。	是	否
server_addr	服务的DCDN节点IP。	是	否
server_port	服务的DCDN节点服务端口。	是	否
body_bytes_sent	实际发送body大小，单位：字节。	是	否
content_type	请求的资源类型。	是	否
hit_info	是否命中信息（直播、动态加速除外），取值： HIT：命中。 MISS：未命中。	是	是
http_range	用户请求中Header头Range字段取值，如bytes：0~100。	是	否
user_agent	用户代理信息。	是	是
user_info	用户信息。	是	否
uuid	请求唯一标识。	是	否
via_info	Via头信息。	是	否
xforwordfor	请求头中X-Forwarded-For字段。	是	否

WAF日志字段

开通边缘WAF日志服务后，您可以根据以下表格查看边缘WAF日志中采集字段的含义。


字段名称	字段含义	是否建立SLS索引	示例值
unixtime	请求时间。	是	1640966400
domain	请求的域名。	是	api.aliyun.com
method	请求方法。	是	GET
scheme	请求协议。	是	http
uri	请求资源。	是	/news/search.php
uri_param	请求参数。	是	title=tm_content%3Darticle&pid=123
content_type	被请求的内容类型。	是	application/x-www-form-urlencoded
matched_host	客户端请求匹配到的已接入进行服务的域名。	是	*.aliyun.com
request_id	请求唯一标识。	是	792a121e16405968501823589e
return_code	请求响应码。	是	200
referer	HTTP refer字段。	是	http://example.com
user_agent	用户代理信息。	是	Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)
x_forwarded_for	访问请求头部中带有的XFF头信息，用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。	是	101.XX.XX.120
client_ip	用户真实IP。	是	1.XX.XX.1
final_test	最终匹配的是观察模式。	是	FALSE
cookie	访问请求头部中带有的访问来源客户端Cookie信息。	是	k1=v1;k2=v2
final_action	最终执行的防护动作。 block：表示Web基础防护模块拦截。 deny：表示除Web基础防护模块外其他模块拦截。 captcha表示普通滑块验证。 js：表示JS验证。空字符串：表示未拦截。即未命中任何防护规则，或者命中了白名单规则、观察类规则，或者客户端完成滑块或JS验证后触发放行的情况。说明如果一个请求同时触发了多个防护模块，则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为：拦截（block） > 普通滑块验证（captcha） > > 动态令牌验证（sigchl）>JS验证（js）。	是	block
final_plugin	最终匹配的防护模块信息。若final_action有值，则该字段为对客户端请求最终执行的防护动作（final_action）对应的防护模块，即此时final_plugin有且仅有一个模块信息。若final_action为空，则该字段为客户端请求匹配到的所有防护规则所属的防护模块信息（其中匹配的模块不是Web基础防护模块或者白名单模块的话，如果模块名后含有"-T"后缀则表明请求匹配到了该模块下的观察类规则）。匹配的防护模块可能有多个值，多个值之间用半角逗号（,）分隔。对应防护模块信息： whitelist：表示命中白名单模块规则。 waf：表示命中Web基础防护模块规则。 custom_acl：表示命中自定义规则模块规则。 ip_blacklist：表示命中IP黑名单模块规则。 region_block：表示命中区域封禁模块规则。 bot：表示命中Bot管理模块规则。 anti_scan：表示命中扫描防护模块规则。	是	样例1：“waf” 样例2：“whitelist” 样例3：“custom_acl” 样例4：“custom_acl-T” 样例5：“custom_acl-T,ip_blacklist-T,waf”
final_rule_id	最终匹配的防护规则信息。若final_action有值，则该字段为对客户端请求最终应用的防护规则的ID，即final_action对应的防护规则的ID（只有防护规则ID数字信息，不含模块信息）。若final_action为空，则该字段为对客户端请求匹配到的所有防护规则ID相关信息，防护规则ID相关信息按如下规则输出："模块名-防护规则ID(-T)"组成（其中白名单模块及Web基础防护模块对应防护规则信息不含-T标识，其余模块若还有-T标识表明对应防护规则ID为观察类规则）。匹配的防护规则ID可能有多个值，多个值之间用半角逗号（,）分隔。	是	样例1：“200106” 样例2：“whitelist-20010060” 样例3：“custom_acl-20010065” 样例4：“custom_acl-20010063-T” 样例5：“custom_acl-20010063-T,ip_blacklist-20010066-T,waf-200106”
remote_addr	请求IP。	是	1.XX.XX.1