流量日志字段说明

字段名称

字段说明

示例值

__time__

在Logstore写入日志数据时的日志时间。

1703483369

__topic__

日志的主题。取值固定为cloudfirewall_access_log，表示云防火墙的流量日志。

cloudfirewall_access_log

acl_rule_id

流量命中的访问控制策略ID。

取值为00000000-0000-0000-0000-000000000000时，表示未命中任何访问控制策略。

073a1475-6e11-43e2-8b28-98cee9c6****

aliuid

阿里云账号ID。

1233333333****

app_dpi_state

应用识别状态。取值：

• success：识别成功

• policy_discard：已被策略拦截

• tcp_not_establish：TCP建立失败

• analysing：分析中

• no_payload：尚未收到载荷

• unknown_loose：宽松模式下未识别出结果

• unknown_strict：严格模式下识别失败

• none：无状态

success

app_name

流量的应用类型。取值：HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown（协议为未知类型）等。

HTTPS

attack_type_name

流量包含的攻击类型的中文名称。

挖矿行为

attack_type_name_en

流量包含的攻击类型的英文名称。

Mining Behavior

country_id

国家或地区，取值采用 ISO 3166-1 国际标准中的两位字母代码。

• direction为in时，取值为发起流量的国家或地区。

• direction为out时，取值为流量目的地所在的国家或地区。

CN

city_id

用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码，您可以通过中国行政区划代码查询对应的城市代码，例如北京市：110000。

110000

cloud_instance_id

防护的资产实例ID。

ngw-bp1d5bx2orlw1p2wn****

direction

流量的方向。取值：

• in：入方向，表示来自互联网的其他资源或内网中的其他ECS访问您的资产。

• out：出方向，表示您的资产主动访问互联网的其他资源或内网中的其他ECS。

in

domain

流量的目的域名。

www.aliyundoc.com

dst_ip

流量的目的IP。

39.108.XX.XX

dst_network_instance_id

流量目的网络实例。

vpc-bp18ina819injc9zs****

dst_port

流量的目的端口。

443

dst_region

流量目的地域。

cn-beijing

end_time

会话结束时间。使用Unix时间戳格式表示，单位：秒。

1702367350

firewall_id

VPC防火墙实例ID。

cen-m9y9u2hgc0t9im****

in_bps

入方向流量速率。单位：bit/s。

42

in_packet_bytes

入方向流量大小。单位：Byte。

58

in_packet_count

入方向流量包的数量。

1

in_pps

入方向流量包平均每秒传输速率。单位：个/秒。

1

ip_protocol

IP协议类型。取值：

• tcp

• udp

• icmp

tcp

ips_ai_rule_id

流量命中的智能推荐访问控制策略的ID。

取值为00000000-0000-0000-0000-000000000000，表示未匹配或未命中任何智能推荐访问控制策略。

00000000-0000-0000-0000-000000000000

ips_rule_id

流量命中的入侵防御规则的ID。

取值为00000000-0000-0000-0000-000000000000，表示未匹配或未命中入侵防御规则。

00000000-0000-0000-0000-000000000000

ips_rule_name

流量命中的入侵防御规则的中文名称。

主机存在挖矿行为

ips_rule_name_en

流量命中的入侵防御规则的英文名称。

Mining behavior on the host

log_type

日志类型。取值：

• internet_log：互联网边界防火墙日志

• vpc_firewall_log：VPC边界防火墙日志

• nat_firewall_log：NAT边界防火墙日志

• dns_firewall_log：DNS防火墙日志

• ipv6_firewall_log：IPv6资产流量防护日志

internet_log

loose_allow_acl_id

预匹配访问控制策略ID。取值：

• 00000000-0000-0000-0000-000000000000：表示不存在未识别放行的流量。

• 其他：表示存在未识别放行状态的流量，当前取值为未识别放行策略的ID。

00000000-0000-0000-0000-000000000000

new_conn

是否新建连接。取值：

• 1：是

• 0：否

1

out_bps

出方向流量速率。单位：bit/s。

0

out_packet_bytes

出方向流量大小。单位：Byte。

0

out_packet_count

出方向流量包的数量。

0

out_pps

出方向流量包平均每秒传输速率。单位：个/秒。

0

region_id

地域ID。不同地域ID的含义，请参见支持的地域。

• direction为in时，取值为流量目的地所在的资产地域ID。

• direction为out时，取值为发起流量的资产地域ID。

cn-beijing

rule_result

流量命中访问控制策略后的执行动作。取值：

• pass：放行。

• alert：观察。

• drop：拒绝。

流量命中入侵防御事件的执行动作。取值：

• alert：告警提示。

• drop：拦截。

alert

rule_source

流量命中的策略来源。取值：

• basic_acl：访问控制

• dns_acl_rule：DNS防火墙访问控制策略

• intelligence：威胁情报

• ips_basic_rule：基础防御

• virtual_patch：虚拟补丁

• unknown：未知

basic_acl

src_ip

流量的源IP。

167.94.XX.XX

src_network_instance_id

流量源网络实例。

vpc-bp18ina819injc9zs****

src_port

流量的源端口，即发出流量数据的主机端口。

47915

src_region

流量源地域。

cn-beijing

src_vpc_id

流量源VPC的ID。

vpc-bp18ina819injc9zs****

start_time

会话开始时间。使用Unix时间戳格式表示，单位：秒。

1701759171

start_time_min

会话开始时间，分钟级别。使用Unix时间戳格式表示，单位：秒。

1701759120

tcp_seq

TCP序列号。

388367****

total_bps

出入方向的总传输速率。单位：bit/s。

42

total_packet_bytes

出入方向的总流量大小。单位：byte。

58

total_packet_count

出入方向的总流量包数量。

1

total_pps

出入方向总流量包的平均每秒传输速率。单位：个/秒。

0

url

服务器访问的互联网网站URL地址。

http://aliyundoc.com/index.html

vul_level

恶意流量命中的漏洞风险等级。取值：

• 0：未检测到漏洞利用流量。

• 1：低危漏洞利用流量。

• 2：中危漏洞利用流量。

• 3：高危漏洞利用流量。

1