云防火墙自动实时采集并存储出入方向的流量日志,您可以通过指定日志字段快速查询所需的日志内容,方便您进行日志分析和故障排查。本文为您介绍云防火墙日志字段含义以及支持索引的日志字段。
防火墙日志字段
互联网边界防火墙
NAT边界防火墙
VPC边界防火墙
支持索引的字段
日志字段说明
字段名称 | 字段说明 | 示例值 |
__time__ | 在Logstore写入日志数据时的日志时间。 | 1703483369 |
__topic__ | 日志的主题。取值固定为cloudfirewall_access_log,表示云防火墙的流量日志。 | cloudfirewall_access_log |
acl_rule_id | 流量命中的访问控制策略ID。 取值为00000000-0000-0000-0000-000000000000时,表示未命中任何访问控制策略。 | 073a1475-6e11-43e2-8b28-98cee9c6**** |
aliuid | 阿里云账号ID。 | 1233333333**** |
app_dpi_state | 应用识别状态。取值:
| success |
app_name | 流量的应用类型。取值:HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown(协议为未知类型)等。 | HTTPS |
attack_type_name | 流量包含的攻击类型的中文名称。 | 挖矿行为 |
attack_type_name_en | 流量包含的攻击类型的英文名称。 | Mining Behavior |
country_id | 国家或地区,取值采用 ISO 3166-1 国际标准中的两位字母代码。 说明 字母代码 YY 表示未识别的国家或地域。
| CN |
city_id | 用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码,您可以通过中国行政区划代码查询对应的城市代码,例如北京市:110000。 | 110000 |
cloud_instance_id | 防护的资产实例ID。 | ngw-bp1d5bx2orlw1p2wn**** |
direction | 流量的方向。取值:
说明 VPC边界防火墙无出入方向概念,direction字段默认取值out。 | in |
domain | 流量的目的域名。 说明
| www.aliyundoc.com |
dst_ip | 流量的目的IP。 | 39.108.XX.XX |
dst_network_instance_id | 流量目的网络实例。 | vpc-bp18ina819injc9zs**** |
dst_port | 流量的目的端口。 | 443 |
dst_region | 流量目的地域。 | cn-beijing |
end_time | 会话结束时间。使用Unix时间戳格式表示,单位:秒。 | 1702367350 |
firewall_id | VPC防火墙实例ID。 | cen-m9y9u2hgc0t9im**** |
in_bps | 入方向流量速率。单位:bit/s。 | 42 |
in_packet_bytes | 入方向流量大小。单位:Byte。 | 58 |
in_packet_count | 入方向流量包的数量。 | 1 |
in_pps | 入方向流量包平均每秒传输速率。单位:个/秒。 说明 传输速率小于1个/秒时,该字段显示0,不会显示小数位。 | 1 |
ip_protocol | IP协议类型。取值:
| tcp |
ips_ai_rule_id | 流量命中的智能推荐访问控制策略的ID。 取值为00000000-0000-0000-0000-000000000000,表示未匹配或未命中任何智能推荐访问控制策略。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_id | 流量命中的入侵防御规则的ID。 取值为00000000-0000-0000-0000-000000000000,表示未匹配或未命中入侵防御规则。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_name | 流量命中的入侵防御规则的中文名称。 | 主机存在挖矿行为 |
ips_rule_name_en | 流量命中的入侵防御规则的英文名称。 | Mining behavior on the host |
log_type | 日志类型。取值:
| internet_log |
loose_allow_acl_id | 预匹配访问控制策略ID。取值:
| 00000000-0000-0000-0000-000000000000 |
new_conn | 是否新建连接。取值:
| 1 |
out_bps | 出方向流量速率。单位:bit/s。 | 0 |
out_packet_bytes | 出方向流量大小。单位:Byte。 | 0 |
out_packet_count | 出方向流量包的数量。 | 0 |
out_pps | 出方向流量包平均每秒传输速率。单位:个/秒。 说明 传输速率小于1个/秒时,该字段显示0,不会显示小数位。 | 0 |
region_id | 地域ID。不同地域ID的含义,请参见支持的地域。
| cn-beijing |
rule_result | 流量命中访问控制策略后的执行动作。取值:
流量命中入侵防御事件的执行动作。取值:
| alert |
rule_source | 流量命中的策略来源。取值:
| basic_acl |
src_ip | 流量的源IP。 | 167.94.XX.XX |
src_network_instance_id | 流量源网络实例。 | vpc-bp18ina819injc9zs**** |
src_port | 流量的源端口,即发出流量数据的主机端口。 | 47915 |
src_region | 流量源地域。 | cn-beijing |
src_vpc_id | 流量源VPC的ID。 | vpc-bp18ina819injc9zs**** |
start_time | 会话开始时间。使用Unix时间戳格式表示,单位:秒。 | 1701759171 |
start_time_min | 会话开始时间,分钟级别。使用Unix时间戳格式表示,单位:秒。 | 1701759120 |
tcp_seq | TCP序列号。 | 388367**** |
total_bps | 出入方向的总传输速率。单位:bit/s。 | 42 |
total_packet_bytes | 出入方向的总流量大小。单位:byte。 | 58 |
total_packet_count | 出入方向的总流量包数量。 | 1 |
total_pps | 出入方向总流量包的平均每秒传输速率。单位:个/秒。 说明 传输速率小于1个/秒时,该字段显示0,不会显示小数位。 | 0 |
url | 服务器访问的互联网网站URL地址。 说明 仅当app_name取值为HTTP时,才会显示该字段的值。 | http://aliyundoc.com/index.html |
vul_level | 恶意流量命中的漏洞风险等级。取值:
| 1 |
ndr_log_type | NDR协议日志类型,协议日志的标识。 | HTTP |
net_type | NDR流量检测位置。取值:
| 0 |
request_uri |
| /api?key=value |
request_path | URI的路径部分(不含查询参数)。 | /api |
host | 请求头中的目标主机名及端口号(Host头部)。 | aliyun.com:8080 |
request_method | HTTP请求方法(如 GET、POST、PUT、DELETE等)。 | POST |
http_user_agent | 请求头中的客户端标识。 | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.95 Safari/537.36 |
status | HTTP响应状态码(三位数字代码)。 | 200 |