流量日志字段说明_云防火墙(Cloud Firewall)-阿里云帮助中心

云防火墙自动实时采集并存储出入方向的流量日志，您可以通过指定日志字段快速查询所需的日志内容，方便您进行日志分析和故障排查。本文为您介绍云防火墙日志字段含义以及支持索引的日志字段。

防火墙日志字段

互联网边界防火墙

NAT边界防火墙

VPC边界防火墙

日志字段说明

字段名称	字段说明	示例值

字段名称	字段说明	示例值
__time__	在Logstore写入日志数据时的日志时间。	1703483369
__topic__	日志的主题。取值固定为cloudfirewall_access_log，表示云防火墙的流量日志。	cloudfirewall_access_log
acl_rule_id	流量命中的访问控制策略ID。取值为00000000-0000-0000-0000-000000000000时，表示未命中任何访问控制策略。	073a1475-6e11-43e2-8b28-98cee9c6****
aliuid	阿里云账号ID。	1233333333****
app_dpi_state	应用识别状态。取值： success：识别成功 policy_discard：已被策略拦截 tcp_not_establish：TCP建立失败 analysing：分析中 no_payload：尚未收到载荷 unknown_loose：宽松模式下未识别出结果 unknown_strict：严格模式下识别失败 none：无状态	success
app_name	流量的应用类型。取值：HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown（协议为未知类型）等。	HTTPS
attack_type_name	流量包含的攻击类型的中文名称。	挖矿行为
attack_type_name_en	流量包含的攻击类型的英文名称。	Mining Behavior
country_id	国家或地区，取值采用 ISO 3166-1 国际标准中的两位字母代码。说明字母代码 YY 表示未识别的国家或地域。 direction为in时，取值为发起流量的国家或地区。 direction为out时，取值为流量目的地所在的国家或地区。	CN
city_id	用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码，您可以通过中国行政区划代码查询对应的城市代码，例如北京市：110000。	110000
cloud_instance_id	防护的资产实例ID。	ngw-bp1d5bx2orlw1p2wn****
direction	流量的方向。取值： in：入方向，表示来自互联网的其他资源或内网中的其他ECS访问您的资产。 out：出方向，表示您的资产主动访问互联网的其他资源或内网中的其他ECS。说明 VPC边界防火墙无出入方向概念，direction字段默认取值out。	in
domain	流量的目的域名。说明仅当流量携带域名信息时，才会显示该字段的值。当 app_name 是DNS时，domain 表示 DNS 请求解析的域名。	www.aliyundoc.com
dst_ip	流量的目的IP。	39.108.XX.XX
dst_network_instance_id	流量目的网络实例。	vpc-bp18ina819injc9zs****
dst_port	流量的目的端口。	443
dst_region	流量目的地域。	cn-beijing
end_time	会话结束时间。使用Unix时间戳格式表示，单位：秒。	1702367350
firewall_id	VPC防火墙实例ID。	cen-m9y9u2hgc0t9im****
in_bps	入方向流量速率。单位：bit/s。	42
in_packet_bytes	入方向流量大小。单位：Byte。	58
in_packet_count	入方向流量包的数量。	1
in_pps	入方向流量包平均每秒传输速率。单位：个/秒。说明传输速率小于1个/秒时，该字段显示0，不会显示小数位。	1
ip_protocol	IP协议类型。取值： tcp udp icmp	tcp
ips_ai_rule_id	流量命中的智能推荐访问控制策略的ID。取值为00000000-0000-0000-0000-000000000000，表示未匹配或未命中任何智能推荐访问控制策略。	00000000-0000-0000-0000-000000000000
ips_rule_id	流量命中的入侵防御规则的ID。取值为00000000-0000-0000-0000-000000000000，表示未匹配或未命中入侵防御规则。	00000000-0000-0000-0000-000000000000
ips_rule_name	流量命中的入侵防御规则的中文名称。	主机存在挖矿行为
ips_rule_name_en	流量命中的入侵防御规则的英文名称。	Mining behavior on the host
log_type	日志类型。取值： internet_log：互联网边界防火墙日志 vpc_firewall_log：VPC边界防火墙日志 nat_firewall_log：NAT边界防火墙日志 dns_firewall_log：DNS防火墙日志 ipv6_firewall_log：IPv6资产流量防护日志	internet_log
loose_allow_acl_id	预匹配访问控制策略ID。取值： 00000000-0000-0000-0000-000000000000：表示不存在未识别放行的流量。其他：表示存在未识别放行状态的流量，当前取值为未识别放行策略的ID。	00000000-0000-0000-0000-000000000000
new_conn	是否新建连接。取值： 1：是 0：否	1
out_bps	出方向流量速率。单位：bit/s。	0
out_packet_bytes	出方向流量大小。单位：Byte。	0
out_packet_count	出方向流量包的数量。	0
out_pps	出方向流量包平均每秒传输速率。单位：个/秒。说明传输速率小于1个/秒时，该字段显示0，不会显示小数位。	0
region_id	地域ID。不同地域ID的含义，请参见支持的地域。 direction为in时，取值为流量目的地所在的资产地域ID。 direction为out时，取值为发起流量的资产地域ID。	cn-beijing
rule_result	流量命中访问控制策略后的执行动作。取值： pass：放行。 alert：观察。 drop：拒绝。流量命中入侵防御事件的执行动作。取值： alert：告警提示。 drop：拦截。	alert
rule_source	流量命中的策略来源。取值： basic_acl：访问控制 dns_acl_rule：DNS防火墙访问控制策略 intelligence：威胁情报 ips_basic_rule：基础防御 virtual_patch：虚拟补丁 unknown：未知	basic_acl
src_ip	流量的源IP。	167.94.XX.XX
src_network_instance_id	流量源网络实例。	vpc-bp18ina819injc9zs****
src_port	流量的源端口，即发出流量数据的主机端口。	47915
src_region	流量源地域。	cn-beijing
src_vpc_id	流量源VPC的ID。	vpc-bp18ina819injc9zs****
start_time	会话开始时间。使用Unix时间戳格式表示，单位：秒。	1701759171
start_time_min	会话开始时间，分钟级别。使用Unix时间戳格式表示，单位：秒。	1701759120
tcp_seq	TCP序列号。	388367****
total_bps	出入方向的总传输速率。单位：bit/s。	42
total_packet_bytes	出入方向的总流量大小。单位：byte。	58
total_packet_count	出入方向的总流量包数量。	1
total_pps	出入方向总流量包的平均每秒传输速率。单位：个/秒。说明传输速率小于1个/秒时，该字段显示0，不会显示小数位。	0
url	服务器访问的互联网网站URL地址。说明仅当app_name取值为HTTP时，才会显示该字段的值。	http://aliyundoc.com/index.html
vul_level	恶意流量命中的漏洞风险等级。取值： 0：未检测到漏洞利用流量。 1：低危漏洞利用流量。 2：中危漏洞利用流量。 3：高危漏洞利用流量。	1

流量日志字段说明

防火墙日志字段

支持索引的字段

日志字段说明

相关文档