文档

全量日志字段说明

更新时间:

本文介绍了DDoS高防全量日志包含的日志字段。

字段

说明

示例

__topic__

日志主题,取值固定为ddos_access_log,表示DDoS高防日志。

ddos_access_log

body_bytes_sent

请求发送Body的大小,单位为字节。

2

content_type

内容类型。

application/x-www-form-urlencoded

host

源网站。

api.aliyundoc.com

http_cookie

请求Cookie。

k1=v1;k2=v2

http_referer

请求Referer。如果没有Referer,返回-

http://aliyundoc.com

http_user_agent

请求UserAgent。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

http_x_forwarded_for

通过代理跳转的上游用户IP。

192.0.XX.XX

https

该请求是否为HTTPS请求。取值:true、false。

true

matched_host

匹配的配置的源站域名(可能是泛域名)。未匹配到时返回-

*.aliyundoc.com

real_client_ip

请求的真实来源IP。获取不到时返回-

192.0.XX.XX

isp_line

线路信息,例如BGP、电信、联通等。

电信

remote_addr

请求连接的客户端IP。

192.0.XX.XX

remote_port

请求连接的客户端端口号。

23713

request_length

请求长度,单位为字节。

123

request_method

请求的HTTP方法。

GET

request_time_msec

请求时间,单位为毫秒。

44

request_uri

请求路径。

/answers/377971214/banner

server_name

匹配到的主机名。如果没有匹配到,返回default

api.aliyundoc.com

status

HTTP状态。

200

time

请求时间。

2018-05-02T16:03:59+08:00

cc_action

CC防护策略的动作。取值:

  • accept:放行访问请求。

  • block:阻断访问请求。

  • challenge:通过挑战算法对访问请求的源IP地址发起校验。

accept

cc_blocks

请求是否被CC防护策略阻断。取值:

  • 1:表示阻断。

  • 其他内容表示通过。

说明

部分情况下,日志中可能不存在该字段。而是以last_result字段记录请求是否被CC防护策略阻断。

1

last_result

请求对应的最终防护动作。取值:

  • ok:表示通过。

  • failed:表示不通过,包括校验未通过和阻断。

说明

部分情况下,日志中可能不存在该字段。而是以cc_blocks字段记录请求是否被CC防护策略阻断。

failed

cc_phase

防护策略类型。取值:

  • 新版本tengine引擎

    • gfbwip:黑白名单

    • gfcc:CC防护模式

    • gfacl:自定义防护策略

    • gfglobal:全局防护策略

    • gfareaban:区域封禁

  • 旧版本famax引擎

    • ipFilter:黑白名单

    • statProtect:CC防护模式

    • preciseProtect:自定义防护策略

    • regionBLock:区域封禁

gfbwip

ua_browser

浏览器标识。

说明

部分情况下,日志中可能不存在该字段。

ie9

ua_browser_family

浏览器系列。

说明

部分情况下,日志中可能不存在该字段。

internet explorer

ua_browser_type

浏览器类型。

说明

部分情况下,日志中可能不存在该字段。

web_browser

ua_browser_version

浏览器版本。

说明

部分情况下,日志中可能不存在该字段。

9.0

ua_device_type

客户端设备类型。

说明

部分情况下,日志中可能不存在该字段。

computer

ua_os

客户端操作系统标识。

说明

部分情况下,日志中可能不存在该字段。

windows_7

ua_os_family

客户端操作系统系列。

说明

部分情况下,日志中可能不存在该字段。

windows

upstream_addr

回源地址列表,格式为IP:Port,多个地址用半角逗号(,)分隔。

192.0.XX.XX:443

upstream_ip

回源IP。

192.0.XX.XX

upstream_response_time

回源响应时间,单位为秒。

说明

旧版本famax引擎,单位为毫秒。

0.044

upstream_status

回源请求HTTP状态。

200

user_id

阿里云账号ID。

166688437215****

querystring

请求字符串。

token=bbcd&abc=123

last_module

网站业务防护策略类型。取值:

  • gfareaban:区域封禁

  • gfbwip:黑白名单

  • gfacl:精准访问控制

  • gfcc:CC拦截

  • gfglobal:全局防护策略

gfareaban

server_protocol

源站服务器响应DDoS高防回源请求的协议及版本号。

HTTP/1.1

ssl_protocol

客户端请求使用的SSL/TLS协议和版本。

TLSv1.2

ssl_cipher

客户端请求使用的加密套件。

ECDHE-RSA-AES128-GCM-SHA256

ssl_handshake_time

客户端TLS握手完成时间,单位ms。

99

ssl_client_tls_fingerprinting_md5

通过阿里云自研算法识别和计算得出的客户端指纹值,非传统JA3指纹值。

29e249d2fc3dc9b240c655918f83b886

vip_addr

DDoS高防实例的IP地址。

203.107.XX.XX

  • 本页导读 (1)