全部產品
Search
文件中心

Web Application Firewall:WAF日誌欄位

更新時間:Nov 02, 2024

本文介紹了WAF日誌中包含的專有欄位的說明。

欄位檢索表

下表描述了WAF日誌支援的專有欄位,包含必選欄位和可選欄位。您可以通過欄位名稱檢索您需要瞭解的欄位。

首字母

欄位

a

b

c

d

f

final相關欄位:final_action | final_plugin | final_rule_id | final_rule_type

h

i

intelligence相關欄位:intelligence_action | intelligence_rule_id | intelligence_test

m

匹配到的已接入WAF防護的網域名稱欄位:matched_host

n

normalied相關欄位:normalized_action | normalized_rule_id | normalized_rule_type | normalized_test

q

查詢字串欄位:querystring

r

s

t

用戶端請求發起時間欄位:time

u

w

WAF防護動作(action)說明

下表描述了WAF支援的所有防護動作(action)。

防護動作(action)

說明

block

表示攔截,即WAF攔截用戶端請求並向用戶端返回405頁面。

captcha_strict

表示嚴格滑塊驗證,即WAF向用戶端返回滑動驗證頁面。如果用戶端成功執行滑動驗證,則WAF允許存取本次請求,否則攔截請求。嚴格滑塊驗證模式下,用戶端的每次請求都需要驗證。

captcha

表示普通滑塊驗證,即WAF向用戶端返回滑動驗證頁面。如果用戶端成功執行滑動驗證,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求(不需要重複驗證),否則攔截請求。

sigchl

表示動態令牌驗證,即Web端請求加簽。用戶端發送請求時經過了WAF下發的webSDK針對請求進行加簽保護,並將簽名隨請求上報。如果加簽驗簽正常,則該請求直接回源,否則會返回一段動態令牌執行代碼要求用戶端重新加簽請求。

js

表示JS驗證,即WAF向用戶端返回一段正常瀏覽器可以自動執行的JS代碼。如果用戶端正常執行了JS代碼,則WAF在一段時間(預設30分鐘)內允許存取該用戶端的所有請求(不需要重複驗證),否則攔截請求。

pass

表示允許存取,即WAF將用戶端請求轉寄到來源站點伺服器進行處理。

captcha_strict_pass

表示用戶端通過了嚴格滑塊驗證,WAF允許存取用戶端請求。

captcha_pass

表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

sigchl_pass

表示用戶端通過了動態令牌驗證,WAF允許存取用戶端請求。

js_pass

表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

mask

表示脫敏敏感資訊,即WAF將來源站點響應訊息中的敏感資訊脫敏處理後,再返回給用戶端。僅防敏感資訊泄露模組支援該動作。

continue

表示允許存取,不同防護模組下continue動作的具體含義不同。詳細資料,請參見normalized_actionwxbb_action欄位的說明。

必選欄位

必選欄位表示WAF日誌中一定包含的欄位。

名稱

說明

取值樣本

acl_rule_type

用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則的類型。取值:

  • custom:表示自訂防護策略(ACL存取控制)規則。

  • blacklist:表示IP黑名單規則。

custom

bypass_matched_ids

用戶端請求命中的WAF允許存取類規則的ID,具體包括白名單規則、設定了允許存取動作的自訂防護策略規則。

如果請求同時命中了多條允許存取類規則,該欄位會記錄所有命中的規則ID。多個規則ID間使用半形逗號(,)分隔。

283531

cc_rule_type

用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的類型。取值:

  • custom:表示自訂防護策略(CC攻擊防護)規則。

  • system:表示CC安全防護規則。

custom

content_type

被請求的內容類型。

application/x-www-form-urlencoded

dst_port

被請求的目的連接埠。

443

final_action

WAF對用戶端請求最終執行的防護動作。取值:

  • block:表示攔截。

  • captcha_strict:表示嚴格滑塊驗證。

  • captcha:表示普通滑塊驗證。

  • sigchl:表示動態令牌驗證。

  • js:表示JS驗證。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。

如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作。防護動作的優先順序由高到低依次為:攔截(block) > 嚴格滑塊驗證(captcha_strict) > 普通滑塊驗證(captcha)> 動態令牌驗證(sigchl) > JS驗證(js)。

block

final_plugin

WAF對用戶端請求最終執行的防護動作(final_action)對應的防護模組。取值:

  • waf:表示規則防護引擎。

  • deeplearning:表示深度學習引擎。

  • dlp:表示防敏感資訊泄露。

  • account:表示賬戶安全。

  • normalized:表示主動防禦。

  • acl:表示IP黑名單、自訂防護策略(ACL存取控制)。

  • cc:表示CC安全防護、自訂防護策略(CC攻擊防護)。

  • antiscan:表示掃描防護。

  • scene:表示情境化配置。

  • antifraud:表示Alibaba Antifraud Service。

  • intelligence:表示爬蟲威脅情報。

  • algorithm:表示典型爬蟲行為識別。

  • wxbb:表示App防護。

您可以在Web Application Firewall控制台防護配置 > 網站防護頁面,配置以上防護模組。關於不同防護模組的介紹,請參見網站防護配置概述

如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。

如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作(final_action)對應的防護模組。

waf

final_rule_id

WAF對用戶端請求最終應用的防護規則的ID,即final_action對應的防護規則的ID。

115341

final_rule_type

WAF對用戶端請求最終應用的防護規則(final_rule_id)的子類型。

例如,在final_plugin:waf類型下有final_rule_type:sqlifinal_rule_type:xss等細分的規則類型。

xss/webshell

host

用戶端要求標頭部的Host欄位,表示被訪問的網域名稱或IP地址。

api.example.com

http_referer

用戶端要求標頭部的Referer欄位,表示請求的來源URL資訊。

如果請求無來源URL資訊,則該欄位顯示-

http://example.com

http_user_agent

用戶端要求標頭部的User-Agent欄位,包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

http_x_forwarded_for

用戶端要求標頭部的X-Forwarded_For(XFF)欄位,用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。

47.100.XX.XX

https

是否是HTTPS請求。

  • 取值為on,表示是HTTPS請求。

  • 如果為空白,表示是HTTP請求。

on

matched_host

用戶端請求匹配到的已接入WAF進行防護的網域名稱。

說明

由於WAF網站接入中支援配置泛網域名稱,所以用戶端請求可能匹配到某個泛網域名稱配置。例如,假設已接入WAF防護的網域名稱是*.aliyun.com,當被請求的URL是www.aliyun.com時,可能匹配到*.aliyun.com。

*.aliyun.com

real_client_ip

WAF對用戶端請求進行分析後,判定發起該請求的真實用戶端IP,便於您在業務中直接使用。

WAF無法判定真實用戶端IP時(例如,由於使用者通過Proxy 伺服器訪問、要求標頭中IP欄位有誤等),該欄位顯示-

192.0.XX.XX

request_length

用戶端請求的位元組數,包含請求行、要求標頭和請求體。單位:Byte。

111111

request_method

用戶端請求的要求方法。

GET

request_time_msec

WAF處理用戶端請求所用的時間。單位:毫秒。

44

request_traceid

WAF為用戶端請求產生的唯一標識。

7837b11715410386943437009ea1f0

request_uri

請求的路徑+請求參數

/news/search.php?id=1

server_protocol

用戶端和WAF之間的協議。

HTTP/1.1

status

WAF響應用戶端請求的HTTP狀態代碼。例如,200(表示請求成功)。

200

src_port

與WAF建立串連的連接埠。

如果WAF與用戶端直接連接,該欄位等同於用戶端連接埠;如果WAF前面還有其他七層代理(例如CDN),該欄位表示WAF的上一級代理的連接埠。

80

src_ip

與WAF建立串連的IP。

如果WAF與用戶端直接連接,該欄位等同於用戶端IP;如果WAF前面還有其他七層代理(例如CDN),該欄位表示WAF的上一級代理的IP。

198.51.XX.XX

start_time

用戶端請求發起時間欄位,單位:秒

1696534058

time

用戶端請求的發起時間。按照ISO 8601標準表示,並需要使用UTC時間,格式為yyyy-MM-ddTHH:mm:ss+08:00

2018-05-02T16:03:59+08:00

upstream_addr

來源站點伺服器的IP地址和連接埠。格式為IP:Port。多個記錄間使用半形逗號(,)分隔。

198.51.XX.XX:443

upstream_response_time

來源站點伺服器響應WAF回源請求的時間與WAF將響應轉寄給用戶端的時間之和。單位:秒。

0.044

upstream_status

來源站點伺服器響應WAF回源請求的HTTP狀態代碼。例如,200(表示請求成功)。

200

可選欄位

可選欄位表示您可手動設定是否要在WAF日誌中包含的欄位。WAF日誌中只記錄您已啟用的可選欄位。

啟用可選欄位將使WAF日誌佔用更多的儲存容量。如果您的日誌儲存容量充足,建議您啟用更多的可選欄位,便於進行更全面的日誌分析。關於配置可選欄位的具體操作,請參見修改日誌設定

名稱

說明

取值樣本

account_action

用戶端請求命中的賬戶安全規則對應的防護動作。取值僅有block,表示攔截。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

account_rule_id

用戶端請求命中的賬戶安全規則的ID。

151235

account_test

用戶端請求命中的賬戶安全規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

acl_action

用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則對應的防護動作。取值:

  • block:表示攔截。

  • captcha_strict:表示嚴格滑塊驗證。

  • captcha:表示普通滑塊驗證。

  • js:表示JS驗證。

  • captcha_strict_pass:表示用戶端通過了嚴格滑塊驗證,WAF允許存取用戶端請求。

  • captcha_pass:表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

  • js_pass:表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

acl_rule_id

用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則的ID。

151235

acl_test

用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

algorithm_action

用戶端請求命中的典型爬蟲行為識別規則對應的防護動作。取值:

  • block:表示攔截。

  • captcha:表示普通滑塊驗證。

  • js:表示JS驗證。

  • captcha_pass:表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

  • js_pass:表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

algorithm_rule_id

用戶端請求命中的典型爬蟲行為識別規則的ID。

151235

algorithm_test

用戶端請求命中的典型爬蟲行為識別規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

antifraud_action

用戶端請求命中的Alibaba Antifraud Service規則對應的防護動作。取值:

  • pass:表示允許存取。

  • block:表示攔截。

  • captcha:表示普通滑塊驗證。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

antifraud_test

用戶端請求命中的Alibaba Antifraud Service規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

antiscan_action

用戶端請求命中的掃描防護規則對應的防護動作。取值僅有block,表示攔截。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

antiscan_rule_id

用戶端請求命中的掃描防護規則的ID。

151235

antiscan_rule_type

用戶端請求命中的掃描防護規則的類型。取值:

  • highfreq:表示高頻Web攻擊封鎖規則。

  • dirscan:表示目錄遍曆防護規則。

  • scantools:表示掃描工具封鎖規則。

  • collaborative:表示協同防禦規則。

highfreq

antiscan_test

用戶端請求命中的掃描防護規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

block_action

重要

由於WAF功能更新,該欄位已失效。新增欄位final_plugin用於替代該欄位。如果您在業務中使用了block_action,請儘快將其替換成final_plugin

觸發了攔截動作的WAF防護類型。取值:

  • tmd:表示CC攻擊防護,對應final_plugin取值cc

  • waf:表示Web攻擊防護,對應final_plugin取值waf

  • acl:表示精準存取控制,對應final_plugin取值acl

  • deeplearning:表示深度學習引擎,對應final_plugin取值deeplearning

  • antiscan:表示掃描防護,對應final_plugin取值antiscan

  • antifraud:表示Alibaba Antifraud Service,對應final_plugin取值antifraud

  • antibot:表示防爬封鎖,對應final_plugin取值intelligencealgorithmwxbbscene

waf

body_bytes_sent

服務端返回給用戶端的響應體的位元組數(不含回應標頭)。單位:Byte。

1111

cc_action

用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護動作。取值:

  • block:表示攔截。

  • captcha:表示普通滑塊驗證。

  • js:表示JS驗證。

  • captcha_pass:表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

  • js_pass:表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

cc_rule_id

用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的ID。

151234

cc_test

用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

deeplearning_action

用戶端請求命中的深度學習引擎規則對應的防護動作。取值僅有block,表示攔截。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

deeplearning_rule_id

用戶端請求命中的深度學習引擎規則的ID。

151238

deeplearning_rule_type

用戶端請求命中的深度學習引擎規則的類型。取值:

  • xss:表示跨站指令碼防護規則。

  • code_exec:表示代碼執行防護規則。

  • webshell:表示Webshell防護規則。

  • sqli:表示SQL注入防護規則。

  • lfilei:表示本地檔案包含防護規則。

  • rfilei:表示遠程檔案包含防護規則。

  • other:表示其他防護規則。

xss

deeplearning_test

用戶端請求命中的深度學習引擎規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

dlp_action

用戶端請求命中的防敏感資訊泄露規則對應的防護動作。取值:

  • block:表示攔截。

  • mask:表示脫敏敏感資訊。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

mask

dlp_rule_id

用戶端請求命中的防敏感資訊泄露規則的ID。

151245

dlp_test

用戶端請求命中的防敏感資訊泄露規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

intelligence_action

用戶端請求命中的爬蟲威脅情報規則對應的防護動作。取值:

  • block:表示攔截。

  • captcha_strict:表示嚴格滑塊驗證。

  • captcha:表示普通滑塊驗證。

  • js:表示JS驗證。

  • captcha_strict_pass:表示用戶端通過了嚴格滑塊驗證,WAF允許存取用戶端請求。

  • captcha_pass:表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

  • js_pass:表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

intelligence_rule_id

用戶端請求命中的爬蟲威脅情報規則的ID。

152234

intelligence_test

用戶端請求命中的爬蟲威脅情報規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

normalized_action

用戶端請求命中的主動防禦規則對應的防護動作。取值:

  • block:表示請求異常,主動防禦模組攔截請求。

  • continue:表示請求中未檢測出異常,主動防禦模組允許存取請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

normalized_rule_id

用戶端請求命中的主動防禦規則的ID。

151266

normalized_rule_type

用戶端請求命中的主動防禦規則的類型。取值:

  • User-Agent:表示User-Agent基準規則(即要求標頭的User-Agent欄位不在基準範圍。其他規則類型的含義與此類似)。

  • Referer:表示Referer基準規則。

  • URL:表示URL基準規則。

  • Cookie:表示Cookie基準規則。

  • Body:表示Body基準規則。

User-Agent

normalized_test

用戶端請求命中的主動防禦規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

querystring

用戶端請求中的查詢字串,具體指被請求URL中問號(?)後面的部分。

title=tm_content%3Darticle&pid=123

region

WAF執行個體的地區ID。取值:

  • cn:表示中國內地。

  • int:表示非中國內地。

cn

remote_addr

與WAF建立串連的IP。

如果WAF與用戶端直接連接,該欄位等同於用戶端IP;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的IP。

198.51.XX.XX

remote_port

與WAF建立串連的連接埠。

如果WAF與用戶端直接連接,該欄位等同於用戶端連接埠;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的連接埠。

80

request_body

訪問請求體。

i am the request body, encrypted or not!

request_path

被請求的相對路徑,具體指被請求URL中網域名稱後面且問號(?)前面的部分(不包含查詢字串)。

/news/search.php

scene_action

用戶端請求命中的情境化配置規則對應的防護動作。取值:

  • block:表示攔截。

  • captcha:表示普通滑塊驗證。

  • sigchl:表示動態令牌驗證。

  • js:表示JS驗證。

  • captcha_pass:表示用戶端通過了普通滑塊驗證,WAF允許存取用戶端請求。

  • sigchl_pass:表示用戶端通過了動態令牌驗證,WAF允許存取用戶端請求。

  • js_pass:表示用戶端通過了JS驗證,WAF允許存取用戶端請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

scene_id

用戶端請求命中的情境化配置規則對應的情境ID。

151235

scene_rule_id

用戶端請求命中的情境化配置規則的ID。

153678

scene_rule_type

用戶端請求命中的情境化配置規則的類型。取值:

  • bot_aialgo:表示AI智能防護規則。

  • js:表示簡單指令碼過濾規則。

  • intelligence:表示爬蟲威脅情報庫匹配、IDC黑名單封鎖規則。

  • sdk:表示App(已整合SDK)簽名異常、裝置特徵異常規則。

  • cc:表示IP限速、自訂會話限速規則。

  • sigchl:表示動態令牌挑戰規則。

bot_aialgo

sigchl_invalid_type

用戶端請求被動態令牌挑戰規則判定為異常的原因。取值:

  • sigchl_invalid_sig:表示簽名驗證失敗。常見失敗原因包括:

    • 請求沒有攜帶簽名。

    • 加簽時的傳參與WAF收到的實際內容不一致。

  • sigchl_is_replay:表示簽章時間戳異常,可能為重放攻擊。

  • sigchl_is_driver:表示識別為webdriver攻擊。

sigchl_invalid_sig

scene_test

用戶端請求命中的情境化配置規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

server_port

被請求的WAF連接埠。

443

ssl_cipher

用戶端請求使用的加密套件。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

用戶端請求使用的SSL/TLS協議和版本。

TLSv1.2

ua_browser

發起請求的瀏覽器的名稱。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

ie9

ua_browser_family

發起請求的瀏覽器所屬系列。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

internet explorer

ua_browser_type

發起請求的瀏覽器的類型。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

web_browser

ua_browser_version

發起請求的瀏覽器的版本。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

9.0

ua_device_type

發起請求的用戶端的裝置類型。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

computer

ua_os

發起請求的用戶端的作業系統類型。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

windows_7

ua_os_family

發起請求的用戶端所屬的作業系統系列。

重要

WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。

windows

user_id

當前WAF執行個體所屬的阿里雲帳號ID。

17045741********

waf_action

用戶端請求命中的規則防護引擎規則對應的防護動作。取值僅有block,表示攔截。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

waf_rule_id

用戶端請求命中的規則防護引擎規則的ID。

113406

waf_rule_type

用戶端請求命中的規則防護引擎規則的類型。取值:

  • xss:表示跨站指令碼防護規則。

  • code_exec:表示代碼執行防護規則。

  • webshell:表示Webshell防護規則。

  • sqli:表示SQL注入防護規則。

  • lfilei:表示本地檔案包含防護規則。

  • rfilei:表示遠程檔案包含防護規則。

  • other:表示其他防護規則。

xss

waf_test

用戶端請求命中的規則防護引擎規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false

wxbb_action

用戶端請求命中的App防護規則對應的防護動作。取值:

  • block:表示簽名驗證失敗,App防護模組攔截請求。

  • captcha:表示普通滑塊驗證。

  • js:表示JS驗證。

  • continue:表示簽名驗證通過,App防護模組允許存取請求。

關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明

block

wxbb_invalid_wua

用戶端請求被App防護規則判定為異常的原因。取值:

  • wxbb_simulator:表示使用模擬器。

  • wxbb_proxy:表示使用代理。

  • wxbb_root:表示Root裝置。

  • wxbb_hook:表示存在Hook行為。

  • wxbb_antireplay:表示簽名串(wToken)重放攻擊。

  • wxbb_virtual:表示裝置上應用(整合了WAF SDK)多開。

  • wxbb_debugged:表示裝置處於偵錯模式。

  • wxbb_invalid_sign:表示簽名驗證失敗。

    常見失敗原因包括:

    • 請求沒有攜帶簽名。

    • 加簽時的傳參與WAF收到的實際內容不一致,例如,加簽傳參為a=1&b=2,WAF實際收到的請求參數為b=2&a=1;加簽傳參內容未經過編碼,WAF實際收到的請求經過了Base64編碼等。

wxbb_invalid_sign

wxbb_rule_id

用戶端請求命中的App防護規則的ID。

156789

wxbb_test

用戶端請求命中的App防護規則對應的防護模式。取值:

  • true:表示觀察模式,即僅記錄日誌,不觸發攔截等防護動作。

  • false:表示防護模式,WAF對命中防護規則的請求執行攔截等防護動作。

false