启用全量日志功能后,Web应用防火墙将记录您网站的所有访问请求日志,您可以通过一键智能搜索快速定位请求记录,满足运维、安全方面的管理需求。

注意
  • 全量日志功能仅对保有该功能的存量用户提供。新开通Web应用防火墙(WAF)服务时不再赠送全量日志服务。如果您需要使用日志功能,建议您开通WAF日志服务。更多信息,请参见开通WAF日志服务
  • 本文描述的操作步骤仅适用于使用旧版防护引擎的用户。如果您已经升级到新版防护引擎(具体请参见防护引擎全面升级),也建议您使用WAF日志服务。

概述

全量日志功能可以帮助您轻松地完成以下运维工作:
  • 确认某个具体请求是否被WAF拦截或放行。
  • 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。
  • 查询源站对于某个具体请求的响应时间,观察是否超时等。
  • 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。
全量日志的使用流程如下:
  1. 开启全量日志:使用全量日志功能前,您需要在网站配置页面为指定的网站域名开启日志检索。只有开启日志检索后,WAF才会开始记录该网站的访问日志。
  2. 查询全量日志:为网站域名开启日志检索后,您就可以在全量日志页面查询网站的访问日志。

使用须知

  • 开启全量日志查询,即表示您允许阿里云记录您全部经过WAF的Web请求(POST数据不会被记录)。
  • 全量日志功能最多记录最近一个月内的网站访问日志。
  • 一个WAF实例最多可以为100个域名开启全量日志查询。

开启全量日志

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击管理 > 网站配置
  4. 定外到要操作的域名,开启其日志检索开关。日志检索
    您也可以在当前页面停用日志检索。
    说明 如果您停用日志检索功能,则停用期间的访问请求日志不会被记录,即使重新开启日志检索功能,您也无法查询到停用期间的访问请求日志。

查询全量日志

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击统计 > 全量日志
  4. 选择域名,设置查询时间,并单击搜索查询全量日志
    说明 最多支持查询近一个月的数据。

    您也可以单击高级搜索,设置更详细的检索条件。关于高级搜索支持的字段,请参见高级搜索条件

  5. 查看日志检索结果。
    • 业务访问量区域,查看检索时间范围内的访问请求量趋势图。日志访问量
    • 访问日志列表,查看符合检索条件的访问请求记录。
      例如,被CC攻击防护规则拦截的访问请求记录如下图所示。关于日志字段的详细信息,请参见访问日志字段访问日志
  6. 可选:下载日志。
    如果您需要将当前检索到的日志结果下载到本地,请参照步骤进行操作:
    1. 单击全量日志页面右上方的日志下载
    2. 等待下载任务生成后,单击查看下载文件页签,将相应格式的日志文件下载到本地。
      说明 单个下载任务最多支持导出2000万条日志。如果您需要导出的日志超过2000万条以上,建议您分多个任务进行导出。

高级搜索条件

字段 描述
源IP 访问的客户端来源IP。
URL关键字 访问请求URL。
说明 所填写的URL关键字支持包含正斜杠(/)符号。例如,您可以填写/ntis/cashier
Cookie 访问请求头部中带有的访问来源客户端Cookie信息。
Referer 访问请求头部中带有的访问请求的来源URL信息。
User-Agent 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
X-Forwarded-For 访问请求头部中带有的XFF头信息。
服务器响应状态码 源站服务器返回给WAF的响应状态信息。
状态码支持填写最多三位数字,且支持模糊搜索。例如,输入4*进行搜索,将查找所有以4开头的状态码。
说明
  • *可以匹配0或多位数字,但不能以*开头。
  • 支持填写-,查找无状态信息的访问请求。
WAF返回客户端响应码 WAF返回给客户端的响应状态信息。
响应码支持填写最多三位数字,且支持模糊搜索。例如,输入4*进行搜索,将查找所有以4开头的响应码。
说明
  • *可以匹配0或多位数字,但不能以*开头。
  • 支持填写-,查找无状态信息的访问请求。
请求唯一ID标识 指定访问请求。如果存在访问请求被拦截,可以填写拦截页面中的该请求的ID进行搜索。
访问域名 当您对泛域名启用全量日志功能,可以利用该字段对一级子域名进行搜索。
防护规则 选择命中的防护规则类型,包括Web攻击防护、CC防护策略、访问控制策略、区域封禁、数据风控。

访问日志字段

字段 字段名称 描述
Time 访问时间 访问请求的发生时间,在所下载的日志文件中以UTC时间记录。
Domain 访问域名 访问请求的域名。
Source_IP 来源IP 访问的客户端来源IP。
IP_City 来源IP所属地区 访问来源IP所属地区,中国内地地区可精确到市级。
IP_Country 来源IP所属国家 访问来源IP所属国家。
Method 访问请求方法 访问的请求行中的请求类型。
URL 访问请求URL 访问请求行中的所访问的服务器资源。
Https 访问请求协议 访问请求行中的请求所使用的协议。
Referer HTTP Referer字段 访问请求头部中带有的访问请求的来源URL信息。
User-Agent HTTP User-Agent字段 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
X-Forwarded-For HTTP X-Forwarded-For字段 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
Cookie HTTP Cookie字段 访问请求头部中带有的访问来源客户端Cookie信息。
Attack_Type 防护状态
WAF对该访问请求的处理结果:
  • 0:表示未发现攻击。
  • 1:表示触发Web应用攻击防护规则。
  • 2:表示触发CC安全防护规则。
  • 3:表示触发精准访问控制规则。
  • 4:表示触发地区封禁防护策略。
  • 5:表示触发数据风控防护策略。
  • 6:表示触发高频扫描攻击封禁规则。
  • 7:表示触发目录遍历扫描防护规则。
  • 8:表示触发协同防护策略。
  • 9:表示触发扫描工具封禁规则。
Status 响应状态码 WAF返回给客户端的响应状态信息。
Upstream_Status 源站响应状态码 源站返回给WAF的响应状态。如果返回-,表示没有响应,例如该请求被WAF拦截或源站响应超时。
Upstream_IP 源站响应IP 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
Upstream_Time 源站响应时间 源站响应WAF请求的时间。如果返回-,表示响应超时。