DescribeSecurityEventLogs - 查询攻击流量详情日志列表

更新时间:2025-04-17 12:40:45

查询攻击流量的详情日志列表,每条日志中包含了一条请求命中的详细信息。

接口说明

攻击流量指的是命中规则并且被判定为有风险的请求。如下三种数据不包含:

  • 命中“白名单规则”的请求。
  • 命中 bot 规则,但是规则动作为“回源标记”的请求。
  • 命中规则并且规则动作为“动态令牌”/“滑块”/“严格滑块”/“js 验证”,但是用户校验通过并放行的请求。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用前面加 * 表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
操作访问级别资源类型条件关键字关联操作
yundun-waf:DescribeSecurityEventLogsget
*全部资源
*

请求参数

名称类型必填描述示例值
名称类型必填描述示例值
InstanceIdstring

WAF 实例的 ID。

说明
您可以调用 DescribeInstance 查询当前 WAF 实例的 ID。
waf_cdnsdf3****
Filterobject

查询过滤条件,多个过滤条件之间是逻辑与的关系。

DateRangeobject

查询时间范围。

StartDatelong

查询的数据范围不超过过去 30 天。查询数据时使用的开始时间,使用 UNIX 时间戳表示,单位:秒。

说明
开始时间必须晚于当前时间减去 30 天。
1713888000
EndDatelong

查询数据时使用的结束时间,使用 UNIX 时间戳表示,单位:秒。

1713888600
Conditionsarray<object>

过滤条件列表,每一个节点描述一个过滤条件。

object

单个查询条件配置,查询条件由字段名称操作符过滤内容组成。关于查询条件中支持的字段名称以及操作符请参见请求参数补充说明

Keystring

执行过滤操作的字段名称,该接口支持所有字段。

matched_host
OpValuestring

操作符。

eq
Valuesany

过滤值。

test.waf-top
PageSizelong

分页查询时每页的行数。最大值为 100

10
PageNumberlong

分页查询时,返回第几页数据。默认值为 1,表示返回第 1 页数据。

1
RegionIdstring

WAF 实例所属地域。取值:

  • cn-hangzhou:表示中国内地。
  • ap-southeast-1:表示非中国内地。
cn-hangzhou
ResourceManagerResourceGroupIdstring

阿里云资源组 ID。

rg-acfm***q

操作符说明

操作符含义说明
操作符含义说明
all-not-match不等于任一值字段值和数据集合中的任意数据都不相等,例如过滤 real_client_ip 不等于集合中任一值:
{"Key":"real_client_ip","OpValue":"all-not-match","Values":["1.1.1.1","2.2.2.2","3.3.3.3"]}
contain包含字段值包含某个字符串,例如过滤 URL 包含"test"的数据:
{"Key":"request_path","OpValue":"contain","Values":"test"}
eq等于字段值等于某个字符串,例如过滤 URL 等于"/testcase"的数据:
{"Key":"request_path","OpValue":"eq","Values":"/testcase"}
match-one等于多值之一字段值和数据集合中的任意一数据相等,例如过滤 real_client_ip 等于集合中任一值:
{"Key":"real_client_ip","OpValue":"match-one","Values":["1.1.1.1","2.2.2.2","3.3.3.3"]}
ne不等于字段值不等于某个字符串,例如过滤 URL 不等于"/testcase"的统计数据:
{"Key":"request_path","OpValue":"ne","Values":"/testcase"}
not-contain不包含字段值不包含某个字符串,例如过滤 URL 不包含"test"的数据:
{"Key":"request_path","OpValue":"not-contain","Values":"test"}
prefix-match前缀匹配字段值以某个字符串作为前缀,例如滤 URL 前缀是"/testcase"的数据:
{"Key":"request_path","OpValue":"prefix-match","Values":"/testcase"}
suffix-match后缀匹配字段值以某个字符串作为后缀,例如过滤 URL 后缀是"/testcase"的数据:
{"Key":"request_path","OpValue":"suffix-match","Values":"/testcase"}

过滤条件支持的 Key

字段名称字段含义支持的操作符
字段名称字段含义支持的操作符
action防护动作,即该请求最终被处置的动作。ne、eq
cluster防护集群。ne、eq、
match-one、
all-not-match
defense_scene防护模块,一条请求可能命中多个防护模块,使用该字段过滤出的请求可能也会同时命中其它模块。ne、eq
hosthttp 头部的 host。contain、
not-contain、ne、eq、match-one、all-not-match、prefix-match、suffix-match
http_cookiehttp 头部的 cookie。contain、
not-contain、ne、eq、match-one、
all-not-match、prefix-match、suffix-match
http_user_agenthttp 头部获取的 User-Agent。contain、
not-contain、ne、eq、match-one、
all-not-match、prefix-match、suffix-match
matched_host防护对象。ne、eq、
match-one、
all-not-match
real_client_ip请求源 IP,操作符后跟随的参数只能是 IP 地址字符串或者 IP 地址字符串列表,不支持网段查询。ne、eq、
match-one、
all-not-match
remote_country_idhttp 请求源 IP 归属国家。ne、eq、
match-one、
all-not-match
remote_region_idhttp 请求源 IP 省市。ne、eq、
match-one、
all-not-match
request_methodhttp 请求方法。ne、eq、
match-one、
all-not-match
request_pathhttp 请求 URL,不包含 query。contain、
not-contain、ne、eq、match-one、
all-not-match、prefix-match、suffix-match
request_traceid标识请求的唯一 ID。ne、eq、
match-one、
all-not-match
rule_id规则 ID,一条请求可能命中多条规则,使用该字段过滤出的请求可能也会同时命中其它规则。ne、eq

返回参数

名称类型描述示例值
名称类型描述示例值
object

返回的数据结果,格式样例参见示例

RequestIdstring

请求 ID。

D827FCFE-90A7-4330-9326-******4C7726
SecurityEventLogsarray

返回的攻击日志详情列表。

SecurityEventLogany

每一个节点是一条攻击日志,对应了一条请求。具体信息参见日志字段说明返回数据示例

参见返回数据示例
SecurityEventMetaDataobject

返回数据的元信息。

DateRangeobject

查询时使用的时间范围。

StartDatelong

查询数据时使用的开始时间,使用 UNIX 时间戳表示,单位:秒。该值和入参数重的 StartDate 一致。

1713888000
EndDatelong

查询数据时使用的结束时间,使用 UNIX 时间戳表示,单位:秒。该值和入参数重的 EndDate 一致。

1713888600
Unitsstring

返回的统计数据的单位。

requests
SecurityEventLogsTotalCountlong

查询到的攻击日志总条数。

1000

日志字段说明

字段名称字段含义取值示例
字段名称字段含义取值示例
dst_port被请求的目的端口。443
host客户端请求头部的 Host 字段,表示被访问的域名(基于您的业务设置,也可能是 IP 地址)。api.example.com
matched_host客户端请求匹配到的 WAF 防护对象(云产品实例、域名)。.aliyun**.com
plugin_matched_detail_waf_group当前请求命中的 Web 核心防护详细信息,记录了数据命中规则的原因。
plugin_matched_block_rule_detail记录请求命中的非观察模式规则的详细信息,包含了规则 id/动作/防护模块。
plugin_matched_test_rule_detail记录请求命中的观察模式规则的详细信息,包含了规则 id/动作/防护模块。
querystring客户端请求中的查询字符串,具体指被请求 URL 中问号(?)后面的部分。title=tm_content%3Darticle&pid=123
remote_region_idIP 地址归属的省 ID。410000
remote_country_id源 IP 所属国家 ID。CN
remote_isp_id源 IP 所属 IDC 机房。100098
request_method客户端请求的方法。GET
request_traceidWAF 为客户端请求生成的唯一标识。7837b11715410386943437009*****
real_client_ipWAF 对客户端请求进行分析后,判定发起该请求的真实客户端 IP,便于您在业务中直接使用。192.0.XX.XX
request_path被请求的相对路径,具体指被请求 URL 中域名后面且问号(?)前面的部分(不包含查询字符串)。/news/search.php
server_protocol客户端和 WAF 之间的协议。HTTP/1.1
timestamp请求被引擎处理的时间,使用 Unix 时间戳。1742197109

返回数据示例

{
    "SecurityEventLogsTotalCount": 1,
    "SecurityEventLogs": [
        {
            "remote_region_id": "110000",
            "plugin_matched_detail_waf_group": "{\"uri\":{\"hit\":[\"/.git/\"],\"raw\":\"/.git/\"}}",
            "plugin_matched_block_rule_detail": "[{\"RuleId\":\"12***5\",\"Action\":\"block\",\"DefenseScene\":\"waf_base\",\"RuleType\":\"other\"}]",
            "querystring": "-",
            "matched_host": "i-8vbaazr2tboqsq******-443-ecs",
            "remote_country_id": "CN",
            "remote_isp_id": "100098",
            "request_method": "GET",
            "plugin_matched_test_rule_detail": "[]",
            "request_traceid": "0b6261221742197109309484******",
            "dst_port": "0",
            "host": "39.99.***.109",
            "real_client_ip": "47.92.***.14",
            "request_path": "/.git/HEAD",
            "server_protocol": "HTTP/1.1",
            "timestamp": "1742197109"
        }
    ],
    "SecurityEventMetaData": {
        "DateRange": {
            "StartDate": 1742196600,
            "EndDate": 1742197500
        }
    }
}

示例

正常返回示例

JSON格式

{
  "RequestId": "D827FCFE-90A7-4330-9326-******4C7726\n",
  "SecurityEventLogs": [
    "参见返回数据示例"
  ],
  "SecurityEventMetaData": {
    "DateRange": {
      "StartDate": 1713888000,
      "EndDate": 1713888600
    },
    "Units": "requests"
  },
  "SecurityEventLogsTotalCount": 1000
}

错误码

HTTP status code错误码错误信息描述
HTTP status code错误码错误信息描述
400Waf.Report.%sInvalid parameter:%s.无效的参数:%s
400Waf.Report.InternalErrorServer error occurred in report service.报表服务内部错误

访问错误中心查看更多错误码。

  • 本页导读 (1)
  • 接口说明
  • 调试
  • 授权信息
  • 请求参数
  • 返回参数
  • 示例
  • 错误码