云防火墙详细记录出方向和入方向的流量日志。日志中包含多个字段,您可以根据需要选取相应的日志字段进行查询分析。

字段名称 含义及说明 取值示例
__time__ 操作时间。 2018-02-27 11:58:15
__topic__ 日志的主题。取值固定为cloudfirewall_access_log,表示云防火墙的流量日志。 cloudfirewall_access_log
acl_rule_id 访问流量命中的ACL规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
aliuid 阿里云账号ID。 1233333333****
app_name 访问流量的应用名称。取值:HTTPSNTPSIPSMBNFSDNSUnknown(协议为未知类型)。 HTTPS
attack_type_name 访问流量中包含的攻击类型的中文名称。 挖矿行为
attack_type_name_en 访问流量中包含的攻击类型的英文名称。 Mining Behavior
country_id 国家或地区。 CN
direction 流量的方向。取值:
  • in:入方向,表示来自互联网的其他资源或内网中的其他ECS访问您的ECS服务器。
  • out:出方向,表示您的ECS服务器主动访问互联网上的其他资源或内网中的其他ECS。
说明 VPC边界防火墙无出入方向概念,direction字段默认只返回direction:out
in
domain 域名。
说明 仅当direction返回direction:out时,才会显示该字段的值。
www.aliyundoc.com
dst_ip 访问流量的目的IP。 1.XX.XX.1
dst_port 访问流量的目的端口。 443
end_time 会话结束时间。使用Unix时间戳格式表示,单位:秒。 1555399260
in_bps 入方向总流量的大小。单位:bit/s。 11428
in_packet_bytes 入方向总流量。单位:byte。 2857
in_packet_count 入方向总流量的报文数。 18
in_pps 入方向平均每秒报文数。单位:个/秒。 9
ip_protocol IP协议类型。取值:
  • tcp
  • udp
  • icmp
tcp
ips_ai_rule_id 访问流量命中的AI规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
ips_rule_id 访问流量命中的IPS规则的ID。 073a1475-6e11-43e2-8b28-98cee9c6****
ips_rule_name 访问流量命中的IPS规则的中文名称。 主机存在挖矿行为
ips_rule_name_en 访问流量命中的IPS规则的英文名称。 Mining behavior on the host
log_type 日志类型。 vpc_firewall_log
out_bps 出方向总流量的大小。单位:bit/s。 27488
out_packet_bytes 出方向总流量。单位:byte。 6872
out_packet_count 出方向总流量的报文数。 15
out_pps 出方向平均每秒报文数。单位:个/秒。 7
proxy_acl_rule_id NAT防火墙ACL规则ID。 073a1475-6e11-43e2-8b28-98cee9c6****
region_id 访问流量所属的地域ID。关于不同地域ID的含义,请参见支持的地域 cn-beijing
rule_result

云防火墙对访问流量控制规则的结果。取值:

  • pass:放行命中指定策略的访问流量。
  • alert:观察命中指定策略的访问流量。
  • drop:拒绝命中拒绝策略的访问流量。

云防火墙对入侵防御事件防御的结果。取值:

  • alert:对入侵防御事件进行告警提示。
  • drop:对入侵防御事件进行拦截。
alert
src_ip 访问流量的源IP。 1.XX.XX.1
src_port 访问流量的源端口,即发出流量数据的主机端口。 47915
start_time 会话开始时间。使用Unix时间戳格式表示,单位:秒。 1555399258
start_time_min 会话开始时间,分钟取整数。使用Unix时间戳格式表示,单位:分钟。 1555406460
tcp_seq TCP序列号。 388367****
total_bps 出入方向访问总流量的大小。单位:bit/s。 38916
total_packet_bytes 出入方向的访问总流量。单位:byte。 9729
total_packet_count 出入方向总流量的报文数。 33
total_pps 出入方向访问的平均每秒总报文数。单位:个/秒。 16
url 您服务器访问的外部网页的地址。
说明 仅当app_name返回app_name:HTTP时,才会显示该字段的值。
http://aliyundoc.com/index.html
vul_level 漏洞风险等级。取值:
  • 0:表示未检测到漏洞风险。
  • 1:表示低危漏洞。
  • 2:表示中危漏洞。
  • 3:表示高危漏洞。
1