流量日志字段说明

云防火墙自动实时采集并存储出入方向的流量日志,您可以通过指定日志字段快速查询所需的日志内容,方便您进行日志分析和故障排查。本文为您介绍云防火墙日志字段含义以及支持索引的日志字段。

防火墙日志字段

互联网边界防火墙

NAT边界防火墙

VPC边界防火墙

日志字段说明

字段名称

字段说明

示例值

__time__

在Logstore写入日志数据时的日志时间。

1703483369

__topic__

日志的主题。取值固定为cloudfirewall_access_log,表示云防火墙的流量日志。

cloudfirewall_access_log

acl_rule_id

流量命中的访问控制策略ID。

取值为00000000-0000-0000-0000-000000000000时,表示未命中任何访问控制策略。

073a1475-6e11-43e2-8b28-98cee9c6****

aliuid

阿里云账号ID。

1233333333****

app_dpi_state

应用识别状态。取值:

  • success:识别成功

  • policy_discard:已被策略拦截

  • tcp_not_establish:TCP建立失败

  • analysing:分析中

  • no_payload:尚未收到载荷

  • unknown_loose:宽松模式下未识别出结果

  • unknown_strict:严格模式下识别失败

  • none:无状态

success

app_name

流量的应用类型。取值:HTTPSNTPSIPSMBNFSDNSUnknown(协议为未知类型)等。

HTTPS

attack_type_name

流量包含的攻击类型的中文名称。

挖矿行为

attack_type_name_en

流量包含的攻击类型的英文名称。

Mining Behavior

country_id

国家或地区,取值采用ISO 3166-1国际标准中的两位字母代码。

  • directionin时,取值为发起流量的国家或地区。

  • directionout时,取值为流量目的地所在的国家或地区。

CN

city_id

用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码,您可以通过中国行政区划代码查询对应的城市代码,例如北京市:110000。

110000

cloud_instance_id

防护的资产实例ID。

ngw-bp1d5bx2orlw1p2wn****

direction

流量的方向。取值:

  • in:入方向,表示来自互联网的其他资源或内网中的其他ECS访问您的资产。

  • out:出方向,表示您的资产主动访问互联网的其他资源或内网中的其他ECS。

说明

VPC边界防火墙无出入方向概念,direction字段默认取值out

in

domain

流量的目的域名。

说明

仅当流量携带域名信息时,才会显示该字段的值。

www.aliyundoc.com

dst_ip

流量的目的IP。

39.108.XX.XX

dst_network_instance_id

流量目的网络实例。

vpc-bp18ina819injc9zs****

dst_port

流量的目的端口。

443

dst_region

流量目的地域。

cn-beijing

end_time

会话结束时间。使用Unix时间戳格式表示,单位:秒。

1702367350

firewall_id

VPC防火墙实例ID。

cen-m9y9u2hgc0t9im****

in_bps

入方向流量速率。单位:bit/s。

42

in_packet_bytes

入方向流量大小。单位:Byte。

58

in_packet_count

入方向流量包的数量。

1

in_pps

入方向流量包平均每秒传输速率。单位:个/秒。

说明

传输速率小于1个/秒时,该字段显示0,不会显示小数位。

1

ip_protocol

IP协议类型。取值:

  • tcp

  • udp

  • icmp

tcp

ips_ai_rule_id

流量命中的智能推荐访问控制策略的ID。

取值为00000000-0000-0000-0000-000000000000,表示未匹配或未命中任何智能推荐访问控制策略。

00000000-0000-0000-0000-000000000000

ips_rule_id

流量命中的入侵防御规则的ID。

取值为00000000-0000-0000-0000-000000000000,表示未匹配或未命中入侵防御规则。

00000000-0000-0000-0000-000000000000

ips_rule_name

流量命中的入侵防御规则的中文名称。

主机存在挖矿行为

ips_rule_name_en

流量命中的入侵防御规则的英文名称。

Mining behavior on the host

log_type

日志类型。取值:

  • internet_log:互联网边界防火墙日志

  • vpc_firewall_log:VPC边界防火墙日志

  • nat_firewall_log:NAT边界防火墙日志

  • dns_firewall_log:DNS防火墙日志

  • ipv6_firewall_log:IPv6资产流量防护日志

internet_log

loose_allow_acl_id

预匹配访问控制策略ID。取值:

  • 00000000-0000-0000-0000-000000000000:表示不存在未识别放行的流量。

  • 其他:表示存在未识别放行状态的流量,当前取值为未识别放行策略的ID。

00000000-0000-0000-0000-000000000000

new_conn

是否新建连接。取值:

  • 1:是

  • 0:否

1

out_bps

出方向流量速率。单位:bit/s。

0

out_packet_bytes

出方向流量大小。单位:Byte。

0

out_packet_count

出方向流量包的数量。

0

out_pps

出方向流量包平均每秒传输速率。单位:个/秒。

说明

传输速率小于1个/秒时,该字段显示0,不会显示小数位。

0

region_id

地域ID。不同地域ID的含义,请参见支持的地域

  • directionin时,取值为流量目的地所在的资产地域ID。

  • directionout时,取值为发起流量的资产地域ID。

cn-beijing

rule_result

流量命中访问控制策略后的执行动作。取值:

  • pass:放行。

  • alert:观察。

  • drop:拒绝。

流量命中入侵防御事件的执行动作。取值:

  • alert:告警提示。

  • drop:拦截。

alert

rule_source

流量命中的策略来源。取值:

  • basic_acl:访问控制

  • dns_acl_rule:DNS防火墙访问控制策略

  • intelligence:威胁情报

  • ips_basic_rule:基础防御

  • virtual_patch:虚拟补丁

  • unknown:未知

basic_acl

src_ip

流量的源IP。

167.94.XX.XX

src_network_instance_id

流量源网络实例。

vpc-bp18ina819injc9zs****

src_port

流量的源端口,即发出流量数据的主机端口。

47915

src_region

流量源地域。

cn-beijing

src_vpc_id

流量源VPC的ID。

vpc-bp18ina819injc9zs****

start_time

会话开始时间。使用Unix时间戳格式表示,单位:秒。

1701759171

start_time_min

会话开始时间,分钟级别。使用Unix时间戳格式表示,单位:秒。

1701759120

tcp_seq

TCP序列号。

388367****

total_bps

出入方向的总传输速率。单位:bit/s。

42

total_packet_bytes

出入方向的总流量大小。单位:byte。

58

total_packet_count

出入方向的总流量包数量。

1

total_pps

出入方向总流量包的平均每秒传输速率。单位:个/秒。

说明

传输速率小于1个/秒时,该字段显示0,不会显示小数位。

0

url

服务器访问的互联网网站URL地址。

说明

仅当app_name取值为HTTP时,才会显示该字段的值。

http://aliyundoc.com/index.html

vul_level

恶意流量命中的漏洞风险等级。取值:

  • 0:未检测到漏洞利用流量。

  • 1:低危漏洞利用流量。

  • 2:中危漏洞利用流量。

  • 3:高危漏洞利用流量。

1

相关文档

  • 如果您需要开通云防火墙日志分析服务,请参见开通日志分析服务

  • 您可以对采集到的日志进行实时查询与分析,以便于及时了解流量异常情况,保护资产安全。查询日志的具体操作,请参见查询及分析日志

  • 您可以将日志查询分析结果导出到本地或投递到OSS进行存储。具体操作,请参见导出日志