全部產品
Search
文件中心

Cloud Firewall:流量日誌欄位說明

更新時間:Oct 17, 2024

Cloud Firewall自動即時採集並儲存出入方向的流量日誌,您可以通過指定日誌欄位快速查詢所需的日誌內容,方便您進行日誌分析和故障排查。本文為您介紹Cloud Firewall日誌欄位含義以及支援索引的日誌欄位。

防火牆日誌欄位

互連網邊界防火牆

NAT邊界防火牆

VPC邊界防火牆

日誌欄位說明

欄位名稱

欄位說明

樣本值

__time__

在Logstore寫入日誌資料時的日誌時間。

1703483369

__topic__

日誌的主題。取值固定為cloudfirewall_access_log,表示Cloud Firewall的流量日誌。

cloudfirewall_access_log

acl_rule_id

流量命中的存取控制策略ID。

取值為00000000-0000-0000-0000-000000000000時,表示未命中任何存取控制策略。

073a1475-6e11-43e2-8b28-98cee9c6****

aliuid

阿里雲帳號ID。

1233333333****

app_dpi_state

應用識別狀態。取值:

  • success:識別成功

  • policy_discard:已被策略攔截

  • tcp_not_establish:TCP建立失敗

  • analysing:分析中

  • no_payload:尚未收到載荷

  • unknown_loose:寬鬆模式下未識別出結果

  • unknown_strict:strict 模式下識別失敗

  • none:無狀態

success

app_name

流量的應用類型。取值:HTTPSNTPSIPSMBNFSDNSUnknown(協議為未知類型)等。

HTTPS

attack_type_name

流量包含的攻擊類型的中文名稱。

挖礦行為

attack_type_name_en

流量包含的攻擊類型的英文名稱。

Mining Behavior

country_id

國家或地區,取值採用ISO 3166-1國際標準中的兩位字母代碼。

  • directionin時,取值為發起流量的國家或地區。

  • directionout時,取值為流量目的地所在的國家或地區。

CN

city_id

用於表示城市的唯一識別碼。取值採用中國縣以上六位元字行政區劃代碼,您可以通過中國行政區劃代碼查詢對應的城市代碼,例如北京市:110000。

110000

cloud_instance_id

防護的資產執行個體ID。

ngw-bp1d5bx2orlw1p2wn****

direction

流量的方向。取值:

  • in:入方向,表示來自互連網的其他資源或內網中的其他ECS訪問您的資產。

  • out:出方向,表示您的資產主動訪問互連網的其他資源或內網中的其他ECS。

說明

VPC邊界防火牆無出入方向概念,direction欄位預設取值out

in

domain

流量的目的網域名稱。

說明

僅當流量攜帶網域名稱資訊時,才會顯示該欄位的值。

www.aliyundoc.com

dst_ip

流量的目的IP。

39.108.XX.XX

dst_network_instance_id

流量目的網路執行個體。

vpc-bp18ina819injc9zs****

dst_port

流量的目的連接埠。

443

dst_region

流量目的地區。

cn-beijing

end_time

會話結束時間。使用Unix時間戳記格式表示,單位:秒。

1702367350

firewall_id

VPC防火牆執行個體ID。

cen-m9y9u2hgc0t9im****

in_bps

入方向流量速率。單位:bit/s。

42

in_packet_bytes

入方向流量大小。單位:Byte。

58

in_packet_count

入方向流量包的數量。

1

in_pps

入方向流量包平均每秒傳輸速率。單位:個/秒。

說明

傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。

1

ip_protocol

IP協議類型。取值:

  • tcp

  • udp

  • icmp

tcp

ips_ai_rule_id

流量命中的智能推薦存取控制策略的ID。

取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中任何智能推薦存取控制策略。

00000000-0000-0000-0000-000000000000

ips_rule_id

流量命中的入侵防禦規則的ID。

取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中入侵防禦規則。

00000000-0000-0000-0000-000000000000

ips_rule_name

流量命中的入侵防禦規則的中文名稱。

主機存在挖礦行為

ips_rule_name_en

流量命中的入侵防禦規則的英文名稱。

Mining behavior on the host

log_type

日誌類型。取值:

  • internet_log:互連網邊界防火牆日誌

  • vpc_firewall_log:VPC邊界防火牆日誌

  • nat_firewall_log:NAT邊界防火牆日誌

  • dns_firewall_log:DNS防火牆日誌

  • ipv6_firewall_log:IPv6資產流量防護日誌

internet_log

loose_allow_acl_id

預匹配存取控制策略ID。取值:

  • 00000000-0000-0000-0000-000000000000:表示不存在未識別允許存取的流量。

  • 其他:表示存在未識別允許存取狀態的流量,當前取值為未識別允許存取策略的ID。

00000000-0000-0000-0000-000000000000

new_conn

是否建立串連。取值:

  • 1:是

  • 0:否

1

out_bps

出方向流量速率。單位:bit/s。

0

out_packet_bytes

出方向流量大小。單位:Byte。

0

out_packet_count

出方向流量包的數量。

0

out_pps

出方向流量包平均每秒傳輸速率。單位:個/秒。

說明

傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。

0

region_id

地區ID。不同地區ID的含義,請參見支援的地區

  • directionin時,取值為流量目的地所在的資產地區ID。

  • directionout時,取值為發起流量的資產地區ID。

cn-beijing

rule_result

流量命中存取控制策略後的執行動作。取值:

  • pass:允許存取。

  • alert:觀察。

  • drop:拒絕。

流量命中入侵防禦事件的執行動作。取值:

  • alert:警示提示。

  • drop:攔截。

alert

rule_source

流量命中的策略來源。取值:

  • basic_acl:存取控制

  • dns_acl_rule:DNS防火牆存取控制策略

  • intelligence:威脅情報

  • ips_basic_rule:基礎防禦

  • virtual_patch:虛擬補丁

  • unknown:未知

basic_acl

src_ip

流量的源IP。

167.94.XX.XX

src_network_instance_id

流量源網路執行個體。

vpc-bp18ina819injc9zs****

src_port

流量的源連接埠,即發出流量資料的主機連接埠。

47915

src_region

流量源地區。

cn-beijing

src_vpc_id

流量源VPC的ID。

vpc-bp18ina819injc9zs****

start_time

會話開始時間。使用Unix時間戳記格式表示,單位:秒。

1701759171

start_time_min

會話開始時間,分鐘層級。使用Unix時間戳記格式表示,單位:秒。

1701759120

tcp_seq

TCP序號。

388367****

total_bps

出入方向的總傳輸速率。單位:bit/s。

42

total_packet_bytes

出入方向的總流量大小。單位:byte。

58

total_packet_count

出入方向的總流量包數量。

1

total_pps

出入方向總流量包的平均每秒傳輸速率。單位:個/秒。

說明

傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。

0

url

伺服器訪問的互連網網站URL地址。

說明

僅當app_name取值為HTTP時,才會顯示該欄位的值。

http://aliyundoc.com/index.html

vul_level

惡意流量命中的漏洞風險等級。取值:

  • 0:未檢測到漏洞利用流量。

  • 1:低危漏洞利用流量。

  • 2:中危漏洞利用流量。

  • 3:高危漏洞利用流量。

1

相關文檔

  • 如果您需要開通Cloud Firewall日誌分析服務,請參見開通日誌分析服務

  • 您可以對採集到的日誌進行即時查詢與分析,以便於及時瞭解流量異常情況,保護資產安全。查詢日誌的具體操作,請參見查詢及分析日誌

  • 您可以將日誌查詢分析結果匯出到本地或投遞到OSS進行儲存。具體操作,請參見匯出日誌