DDoS高防日志字段解释_日志服务(SLS)-阿里云帮助中心

本文介绍了DDoS高防全量日志包含的日志字段。

字段	说明	示例
__topic__	日志主题，取值固定为ddos_access_log，表示DDoS高防日志。	ddos_access_log
body_bytes_sent	请求发送Body的大小，单位为字节。	2
content_type	内容类型。	application/x-www-form-urlencoded
host	源网站。	api.aliyundoc.com
http_cookie	请求Cookie。	k1=v1;k2=v2
http_referer	请求Referer。如果没有Referer，返回`-`。	http://aliyundoc.com
http_user_agent	请求UserAgent。	Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)
http_x_forwarded_for	通过代理跳转的上游用户IP。	192.0.XX.XX
https	该请求是否为HTTPS请求。取值：true、false。	true
matched_host	匹配的配置的源站域名（可能是泛域名）。未匹配到时返回`-`。	*.aliyundoc.com
real_client_ip	请求的真实来源IP。获取不到时返回`-`。	192.0.XX.XX
isp_line	线路信息，例如BGP、电信、联通等。	电信
remote_addr	请求连接的客户端IP。	192.0.XX.XX
remote_port	请求连接的客户端端口号。	23713
request_length	请求长度，单位为字节。	123
request_method	请求的HTTP方法。	GET
request_time_msec	请求时间，单位为毫秒。	44
request_uri	请求路径。	/answers/377971214/banner
server_name	匹配到的主机名。如果没有匹配到，返回`default`。	api.aliyundoc.com
status	HTTP状态。	200
time	请求时间。	2018-05-02T16:03:59+08:00
cc_action	CC防护策略的动作。取值： accept：放行访问请求。 block：阻断访问请求。 challenge：通过挑战算法对访问请求的源IP地址发起校验。	accept
cc_blocks	请求是否被CC防护策略阻断。取值： `1`：表示阻断。其他内容表示通过。说明部分情况下，日志中可能不存在该字段。而是以`last_result`字段记录请求是否被CC防护策略阻断。	1
last_result	请求对应的最终防护动作。取值： `ok`：表示通过。 `failed`：表示不通过，包括校验未通过和阻断。说明部分情况下，日志中可能不存在该字段。而是以`cc_blocks`字段记录请求是否被CC防护策略阻断。	failed
cc_phase	防护策略类型。取值：新版本tengine引擎 `gfbwip`：黑白名单 `gfcc`：CC防护模式 `gfacl`：自定义防护策略 `gfglobal`：全局防护策略 `gfareaban`：区域封禁旧版本famax引擎 `ipFilter`：黑白名单 `statProtect`：CC防护模式 `preciseProtect`：自定义防护策略 `regionBLock`：区域封禁	gfbwip
ua_browser	浏览器标识。说明部分情况下，日志中可能不存在该字段。	ie9
ua_browser_family	浏览器系列。说明部分情况下，日志中可能不存在该字段。	internet explorer
ua_browser_type	浏览器类型。说明部分情况下，日志中可能不存在该字段。	web_browser
ua_browser_version	浏览器版本。说明部分情况下，日志中可能不存在该字段。	9.0
ua_device_type	客户端设备类型。说明部分情况下，日志中可能不存在该字段。	computer
ua_os	客户端操作系统标识。说明部分情况下，日志中可能不存在该字段。	windows_7
ua_os_family	客户端操作系统系列。说明部分情况下，日志中可能不存在该字段。	windows
upstream_addr	回源地址列表，格式为`IP:Port`，多个地址用半角逗号（,）分隔。	192.0.XX.XX:443
upstream_ip	回源IP。	192.0.XX.XX
upstream_response_time	回源响应时间，单位为秒。说明旧版本famax引擎，单位为毫秒。	0.044
upstream_status	回源请求HTTP状态。	200
user_id	阿里云账号ID。	166688437215****
querystring	请求字符串。	token=bbcd&abc=123
last_module	网站业务防护策略类型。取值： gfareaban：区域封禁 gfbwip：黑白名单 gfacl：精准访问控制 gfcc：CC拦截 gfglobal：全局防护策略	gfareaban
server_protocol	源站服务器响应DDoS高防回源请求的协议及版本号。	HTTP/1.1
ssl_protocol	客户端请求使用的SSL/TLS协议和版本。	TLSv1.2
ssl_cipher	客户端请求使用的加密套件。	ECDHE-RSA-AES128-GCM-SHA256
ssl_handshake_time	客户端TLS握手完成时间，单位ms。	99
ssl_client_tls_fingerprinting_md5	通过阿里云自研算法识别和计算得出的客户端指纹值，非传统JA3指纹值。	29e249d2fc3dc9b240c655918f83b886
vip_addr	DDoS高防实例的IP地址。	203.107.XX.XX