Cloud Firewall自動即時採集並儲存出入方向的流量日誌,您可以通過指定日誌欄位快速查詢所需的日誌內容,方便您進行日誌分析和故障排查。本文為您介紹Cloud Firewall日誌欄位含義以及支援索引的日誌欄位。
防火牆日誌欄位
互連網邊界防火牆
NAT邊界防火牆
VPC邊界防火牆
支援索引的欄位
日誌欄位說明
欄位名稱 | 欄位說明 | 樣本值 |
__time__ | 在Logstore寫入日誌資料時的日誌時間。 | 1703483369 |
__topic__ | 日誌的主題。取值固定為cloudfirewall_access_log,表示Cloud Firewall的流量日誌。 | cloudfirewall_access_log |
acl_rule_id | 流量命中的存取控制策略ID。 取值為00000000-0000-0000-0000-000000000000時,表示未命中任何存取控制策略。 | 073a1475-6e11-43e2-8b28-98cee9c6**** |
aliuid | 阿里雲帳號ID。 | 1233333333**** |
app_dpi_state | 應用識別狀態。取值:
| success |
app_name | 流量的應用類型。取值:HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown(協議為未知類型)等。 | HTTPS |
attack_type_name | 流量包含的攻擊類型的中文名稱。 | 挖礦行為 |
attack_type_name_en | 流量包含的攻擊類型的英文名稱。 | Mining Behavior |
country_id | 國家或地區,取值採用ISO 3166-1國際標準中的兩位字母代碼。
| CN |
city_id | 用於表示城市的唯一識別碼。取值採用中國縣以上六位元字行政區劃代碼,您可以通過中國行政區劃代碼查詢對應的城市代碼,例如北京市:110000。 | 110000 |
cloud_instance_id | 防護的資產執行個體ID。 | ngw-bp1d5bx2orlw1p2wn**** |
direction | 流量的方向。取值:
說明 VPC邊界防火牆無出入方向概念,direction欄位預設取值out。 | in |
domain | 流量的目的網域名稱。 說明 僅當流量攜帶網域名稱資訊時,才會顯示該欄位的值。 | www.aliyundoc.com |
dst_ip | 流量的目的IP。 | 39.108.XX.XX |
dst_network_instance_id | 流量目的網路執行個體。 | vpc-bp18ina819injc9zs**** |
dst_port | 流量的目的連接埠。 | 443 |
dst_region | 流量目的地區。 | cn-beijing |
end_time | 會話結束時間。使用Unix時間戳記格式表示,單位:秒。 | 1702367350 |
firewall_id | VPC防火牆執行個體ID。 | cen-m9y9u2hgc0t9im**** |
in_bps | 入方向流量速率。單位:bit/s。 | 42 |
in_packet_bytes | 入方向流量大小。單位:Byte。 | 58 |
in_packet_count | 入方向流量包的數量。 | 1 |
in_pps | 入方向流量包平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。 | 1 |
ip_protocol | IP協議類型。取值:
| tcp |
ips_ai_rule_id | 流量命中的智能推薦存取控制策略的ID。 取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中任何智能推薦存取控制策略。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_id | 流量命中的入侵防禦規則的ID。 取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中入侵防禦規則。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_name | 流量命中的入侵防禦規則的中文名稱。 | 主機存在挖礦行為 |
ips_rule_name_en | 流量命中的入侵防禦規則的英文名稱。 | Mining behavior on the host |
log_type | 日誌類型。取值:
| internet_log |
loose_allow_acl_id | 預匹配存取控制策略ID。取值:
| 00000000-0000-0000-0000-000000000000 |
new_conn | 是否建立串連。取值:
| 1 |
out_bps | 出方向流量速率。單位:bit/s。 | 0 |
out_packet_bytes | 出方向流量大小。單位:Byte。 | 0 |
out_packet_count | 出方向流量包的數量。 | 0 |
out_pps | 出方向流量包平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。 | 0 |
region_id | 地區ID。不同地區ID的含義,請參見支援的地區。
| cn-beijing |
rule_result | 流量命中存取控制策略後的執行動作。取值:
流量命中入侵防禦事件的執行動作。取值:
| alert |
rule_source | 流量命中的策略來源。取值:
| basic_acl |
src_ip | 流量的源IP。 | 167.94.XX.XX |
src_network_instance_id | 流量源網路執行個體。 | vpc-bp18ina819injc9zs**** |
src_port | 流量的源連接埠,即發出流量資料的主機連接埠。 | 47915 |
src_region | 流量源地區。 | cn-beijing |
src_vpc_id | 流量源VPC的ID。 | vpc-bp18ina819injc9zs**** |
start_time | 會話開始時間。使用Unix時間戳記格式表示,單位:秒。 | 1701759171 |
start_time_min | 會話開始時間,分鐘層級。使用Unix時間戳記格式表示,單位:秒。 | 1701759120 |
tcp_seq | TCP序號。 | 388367**** |
total_bps | 出入方向的總傳輸速率。單位:bit/s。 | 42 |
total_packet_bytes | 出入方向的總流量大小。單位:byte。 | 58 |
total_packet_count | 出入方向的總流量包數量。 | 1 |
total_pps | 出入方向總流量包的平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小於1個/秒時,該欄位顯示0,不會顯示小數位。 | 0 |
url | 伺服器訪問的互連網網站URL地址。 說明 僅當app_name取值為HTTP時,才會顯示該欄位的值。 | http://aliyundoc.com/index.html |
vul_level | 惡意流量命中的漏洞風險等級。取值:
| 1 |