本文介绍Web应用防火墙访问日志的字段详情。
字段 | 说明 |
__topic__ | 日志主题,固定为waf_access_log。 |
owner_id | 阿里云账号ID。 |
account_action | 客户端请求命中的账户安全规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
account_rule_id | 客户端请求命中的账户安全规则的ID。 |
account_test | 客户端请求命中的账户安全规则对应的防护模式。取值:
|
acl_action | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护动作。取值为block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、js_pass。更多信息,请参见WAF防护动作(action)说明。 |
acl_rule_id | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的ID。 |
acl_rule_type | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则的类型。取值:
|
acl_test | 客户端请求命中的IP地址黑名单、自定义防护策略(ACL访问控制)规则对应的防护模式。取值:
|
algorithm_rule_id | 客户端请求命中的典型爬虫行为识别规则的ID。 |
antiscan_action | 客户端请求命中的扫描防护规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
antiscan_rule_id | 客户端请求命中的扫描防护规则的ID。 |
antiscan_rule_type | 客户端请求命中的扫描防护规则的类型。取值:
|
antiscan_test | 客户端请求命中的扫描防护规则对应的防护模式。取值:
|
block_action | 触发了拦截动作的WAF防护类型。详细说明如下: 重要 由于WAF功能升级,该字段已失效。新增final_plugin字段用于替代该字段。如果您在业务中使用了block_action,请尽快将其替换成final_plugin。
|
body_bytes_sent | 客户端请求体的字节数。 |
bypass_matched_ids | 客户端请求命中的WAF放行类规则的ID,具体包括白名单规则、设置了放行动作的自定义防护策略规则。 如果请求同时命中了多条放行类规则,该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号(,)分隔。 |
cc_action | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明。 |
cc_blocks | 是否被CC防护功能拦截。取值:
|
cc_rule_id | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的ID。 |
cc_rule_type | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则的类型。取值:
|
cc_test | 客户端请求命中的CC安全防护、自定义防护策略(CC攻击防护)规则对应的防护模式。取值:
|
content_type | 被请求的内容类型。 |
deeplearning_action | 客户端请求命中的深度学习引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
deeplearning_rule_id | 客户端请求命中的深度学习引擎规则的ID。 |
deeplearning_rule_type | 客户端请求命中的深度学习引擎规则的类型。取值:
|
deeplearning_test | 客户端请求命中的深度学习引擎规则对应的防护模式。取值:
|
dlp_rule_id | 客户端请求命中的防敏感信息泄露规则的ID。 |
dlp_test | 客户端请求命中的防敏感信息泄露规则对应的防护模式。取值:
|
final_rule_type | WAF对客户端请求最终应用的防防护规则(final_rule_id)的子类型。 例如,在 |
final_rule_id | WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。 |
final_action | WAF对客户端请求最终执行的防护动作。取值为block、captcha_strict、captcha和js。更多信息,请参见WAF防护动作(action)说明。 如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为:拦截(block) > 严格滑块验证(captcha_strict) > 普通滑块验证(captcha) > JS验证(js)。 |
final_plugin | WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。取值:
如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS验证后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。 |
host | 客户端请求头部的Host字段,表示被访问的域名(基于您的业务设置,也可能是IP地址)。 |
http_cookie | 客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
http_referer | 客户端请求头部的Referer字段,表示请求的来源URL信息。 如果请求无来源URL信息,则该字段显示短划线(-)。 |
http_user_agent | 客户端请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
https | 访问请求是否为HTTPS请求,取值:
|
matched_host | 匹配到的已接入WAF防护配置的域名,可能是泛域名。
|
normalized_action | 客户端请求命中的主动防御规则对应的防护动作。取值为block和continue。更多信息,请参见WAF防护动作(action)说明。 |
normalized_rule_id | 客户端请求命中的主动防御规则的ID。 |
normalized_rule_type | 客户端请求命中的主动防御规则的类型。取值:
|
normalized_test | 客户端请求命中的主动防御规则对应的防护模式。取值:
|
querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
real_client_ip | WAF对客户端请求进行分析后,判定发起该请求的真实客户端IP地址,便于您在业务中直接使用。 WAF无法判定真实客户端IP地址时(例如,由于用户通过代理服务器访问、请求头中IP字段有误等),该字段显示短划线(-)。 |
threat_real_client_ip | 访问客户端的真实IP地址的威胁情报。更多信息,请参见威胁情报字段。 |
region | WAF实例的地域ID。取值:
|
remote_addr | 与WAF建立连接的IP地址。 如果WAF与客户端直接连接,该字段等同于客户端IP;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的IP地址。 |
remote_port | 与WAF建立连接的端口。 如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如,CDN),该字段表示上一级代理的端口。 |
request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:字节。 |
request_method | 客户端请求的请求方法。 |
request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
request_time_msec | WAF处理客户端请求所用的时间。单位:毫秒。 |
request_traceid | WAF为客户端请求生成的唯一标识。 |
scene_action | 客户端请求命中的场景化配置规则对应的防护动作。取值为block、captcha、js、captcha_pass和js_pass。更多信息,请参见WAF防护动作(action)说明。 |
scene_id | 客户端请求命中的场景化配置规则对应的场景ID。 |
scene_rule_id | 客户端请求命中的场景化配置规则的ID。 |
scene_rule_type | 客户端请求命中的场景化配置规则的类型。取值:
|
scene_test | 客户端请求命中的场景化配置规则对应的防护模式。取值:
|
server_port | 被请求的目的端口。 |
server_protocol | 源站服务器响应WAF回源请求的协议及版本号。 |
status | WAF响应客户端请求的HTTP状态码。 |
ssl_cipher | 客户端请求使用的加密套件。 |
ssl_protocol | 客户端请求使用的SSL/TLS协议和版本。 |
time | 客户端请求的发起时间。 |
ua_browser | 发起请求的浏览器的名称。 |
ua_browser_family | 发起请求的浏览器所属系列。 |
ua_browser_type | 发起请求的浏览器的类型。 |
ua_browser_version | 发起请求的浏览器的版本。 |
ua_device_type | 发起请求的客户端的设备类型。 |
ua_os | 发起请求的客户端的操作系统类型。 |
ua_os_family | 发起请求的客户端所属的操作系统系列。 |
upstream_addr | WAF使用的回源地址列表,格式为IP:Port。 多个地址之间以英文逗号(,)分隔。 |
upstream_response_time | 源站响应WAF请求的时间,单位:秒。 如果返回短划线(-),表示响应超时。 |
upstream_status | 源站返回给WAF的响应状态。 如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。 |
user_id | 当前WAF实例所属的阿里云账号ID。 |
waf_action | 客户端请求命中的规则防护引擎规则对应的防护动作。取值仅有block,表示拦截。更多信息,请参见WAF防护动作(action)说明。 |
waf_test | 客户端请求命中的规则防护引擎规则对应的防护模式。取值:
|
waf_rule_id | 客户端请求命中的规则防护引擎规则的ID。 |
waf_rule_type | 客户端请求命中的规则防护引擎规则的类型。取值:
|