实时日志采集字段说明

更新时间:

开通实时日志服务后,您可以根据本文的表格查看不同类型的日志中所采集字段的名称和含义。

说明
  • 您可以自行选择投递下表字段,为了降低数据成本,建议仅选择实际所需的字段进行投递。

  • 同一种日志类型下的所有投递任务共享相同的字段设置。对于某一任务所做的字段编辑将会在全局范围内生效。例如,当用户访问日志默认勾选了domain字段,如果用户在某个任务下取消了domain字段,那么该字段会立即从其他“用户访问日志”投递任务中移除。

注意事项

  • 若A域名需要从账号1迁移到账号2,需先关闭A域名在账号1下的实时日志投递,待A域名迁移至账号2后,在账号2上重新创建A域名的实时日志投递。如未操作以上实时日志的关闭和新创建的动作,实时日志将持续向账号1投递日志并计费。

  • 少数ISP在特定区域可能会分配私有IP地址给用户端,导致DCDN节点接收到的是用户的私有IP地址。

    说明

    私有IP地址范围有以下三个:

    • A类私有IP地址:10.0.0.0~10.255.255.255,子网掩码:10.0.0.0/8

    • B类私有IP地址:172.16.0.0~172.31.255.255,子网掩码:172.16.0.0/12

    • C类私有IP地址:192.168.0.0~192.168.255.255,子网掩码:192.168.0.0/16

用户访问日志字段

开通用户访问日志服务后,您可以根据以下表格查看用户访问日志中采集字段的含义。

字段名称

字段含义

是否建立SLS索引

是否作为内置可视化分析的字段

unixtime

请求时间。

domain

请求的域名。

method

请求方法。

scheme

请求协议。

uri

请求资源。

uri_param

请求参数。

client_ip

用户真实IP。从用户请求携带的请求头X-Forwarded-For中提取左边第一个IP地址(即client_ip,客户端IP,如果客户端与DCDN节点之间没有经过代理的话,等同于客户端与DCDN节点建联使用的IP)。

proxy_ip

代理IP。从用户请求携带的请求头X-Forwarded-For中提取左边第二个IP地址(即proxy_ip,代理IP,如果客户端与DCDN节点之间没有经过代理的话,提取到的空值用-表示)。

remote_ip

与DCDN节点直接连接的公网IP。

remote_port

和DCDN节点直接连接公网端口。

refer_protocol

HTTP Referer中的协议。

refer_domain

HTTP Referer中domain信息。

refer_uri

HTTP Referer中URI信息。

refer_param

HTTP Referer中的参数信息。

request_size

请求大小(包体+头部),单位:字节。

request_time

请求响应时间,单位:毫秒。

response_size

请求返回大小,单位:字节。

return_code

请求响应码。

sent_http_content_range

应答头里表示的Range信息(由源站创建),如bytes:0~99/200。

server_addr

服务的DCDN节点IP。

server_port

服务的DCDN节点服务端口。

body_bytes_sent

实际发送body大小,单位:字节。

content_type

请求的资源类型。

hit_info

是否命中信息(直播、动态加速除外),取值:

  • HIT:命中。

  • MISS:未命中。

http_range

用户请求中Header头Range字段取值,如bytes:0~100。

user_agent

用户代理信息。

user_info

用户信息。

uuid

请求唯一标识。

via_info

Via头信息。

xforwordfor

请求头中X-Forwarded-For字段。

边缘程序日志字段

开通边缘程序日志服务后,您可以根据以下表格查看边缘程序日志中采集字段的含义。

字段名称

字段含义

是否建立SLS索引

是否作为内置可视化分析的字段

console_alert

用户在JS代码中调用console.alert()打印的自定义日志。

error_code

代码执行错误为0表示没有错误。

error_message

error_code对应的错误说明。

fetch_status

每个子请求的状态信息。

fetch_uuid

子请求的UUID。

http_2xx

子请求2xx的数量。

http_3xx

子请求3xx的数量。

http_4xx

子请求4xx的数量。

http_5xx

子请求5xx的数量。

http_status_other

子请求其他状态数量。

host

主请求的HOST头。

in_method

主请求的HTTP方法。

in_path

主请求的路径。

out_size

回复的整个大小。

out_status

回复的状态码。

code_ver

代码版本号。

routine_spec

边缘程序的规格。

total_cpu_time_μs

整个请求的CPU耗时,单位:微秒。

total_real_time_ms

请求在ER里实际执行的时间,含子请求等待时间、IO时间,单位:毫秒。

uuid

主请求的EagleTraceID。

UnixTime

请求进入ER的时间。

WAF日志字段

开通边缘WAF日志服务后,您可以根据以下表格查看边缘WAF日志中采集字段的含义。

字段名称

字段含义

是否建立SLS索引

示例值

unixtime

请求时间。

1640966400

domain

请求的域名。

api.aliyun.com

method

请求方法。

GET

scheme

请求协议。

http

uri

请求资源。

/news/search.php

uri_param

请求参数。

title=tm_content%3Darticle&pid=123

content_type

被请求的内容类型。

application/x-www-form-urlencoded

matched_host

客户端请求匹配到的已接入进行服务的域名。

*.aliyun.com

request_id

请求唯一标识。

792a121e16405968501823589e

return_code

请求响应码。

200

referer

HTTP refer字段。

http://example.com

user_agent

用户代理信息。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

x_forwarded_for

访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。

101.XX.XX.120

client_ip

用户真实IP。

1.XX.XX.1

final_test

最终匹配的是观察模式。

FALSE

cookie

访问请求头部中带有的访问来源客户端Cookie信息。

k1=v1;k2=v2

final_action

最终执行的防护动作。

  • block:表示Web基础防护模块拦截。

  • deny:表示除Web基础防护模块外其他模块拦截。

  • captcha表示普通滑块验证。

  • js:表示JS验证。

  • 空字符串:表示未拦截。即未命中任何防护规则,或者命中了白名单规则、观察类规则,或者客户端完成滑块或JS验证后触发放行的情况。

说明

如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block) > 普通滑块验证(captcha) > 动态令牌验证(sigchl)>JS验证(js)。

block

final_plugin

最终匹配的防护模块信息。

  • 若final_action有值,则该字段为对客户端请求最终执行的防护动作(final_action)对应的防护模块,即此时final_plugin有且仅有一个模块信息。

  • 若final_action为空,则该字段为客户端请求匹配到的所有防护规则所属的防护模块信息(其中匹配的模块不是Web基础防护模块或者白名单模块的话,如果模块名后含有"-T"后缀则表明请求匹配到了该模块下的观察类规则)。

匹配的防护模块可能有多个值,多个值之间用半角逗号(,)分隔。对应防护模块信息:

  • whitelist:表示命中白名单模块规则。

  • waf:表示命中Web基础防护模块规则。

  • custom_acl:表示命中自定义规则模块规则。

  • ip_blacklist:表示命中IP黑名单模块规则。

  • region_block:表示命中区域封禁模块规则。

  • bot:表示命中Bot管理模块规则。

  • anti_scan:表示命中扫描防护模块规则。

  • 样例1:“waf”

  • 样例2:“whitelist”

  • 样例3:“custom_acl”

  • 样例4:“custom_acl-T”

  • 样例5:“custom_acl-T,ip_blacklist-T,waf”

final_rule_id

最终匹配的防护规则信息。

  • 若final_action有值,则该字段为对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID(只有防护规则ID数字信息,不含模块信息)。

  • 若final_action为空,则该字段为对客户端请求匹配到的所有防护规则ID相关信息,防护规则ID相关信息按如下规则输出:"模块名-防护规则ID(-T)"组成(其中白名单模块及Web基础防护模块对应防护规则信息不含-T标识,其余模块若还有-T标识表明对应防护规则ID为观察类规则)。

匹配的防护规则ID可能有多个值,多个值之间用半角逗号(,)分隔。

  • 样例1:“200106”

  • 样例2:“whitelist-20010060”

  • 样例3:“custom_acl-20010065”

  • 样例4:“custom_acl-20010063-T”

  • 样例5:“custom_acl-20010063-T,ip_blacklist-20010066-T,waf-200106”

remote_addr

请求IP。

1.XX.XX.1