本文介紹了WAF日誌中包含的專有欄位的說明。
欄位檢索表
下表描述了WAF日誌支援的專有欄位,包含必選欄位和可選欄位。您可以通過欄位名稱檢索您需要瞭解的欄位。
必選欄位
必選欄位表示WAF日誌中一定包含的欄位。
名稱 | 說明 | 取值樣本 |
acl_rule_type | 用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則的類型。取值:
| custom |
bypass_matched_ids | 用戶端請求命中的WAF允許存取類規則的ID,具體包括白名單規則、設定了允許存取動作的自訂防護策略規則。 如果請求同時命中了多條允許存取類規則,該欄位會記錄所有命中的規則ID。多個規則ID間使用半形逗號(,)分隔。 | 283531 |
cc_rule_type | 用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的類型。取值:
| custom |
content_type | 被請求的內容類型。 | application/x-www-form-urlencoded |
dst_port | 被請求的目的連接埠。 | 443 |
final_action | WAF對用戶端請求最終執行的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。 如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作。防護動作的優先順序由高到低依次為:攔截(block) > 嚴格滑塊驗證(captcha_strict) > 普通滑塊驗證(captcha)> 動態令牌驗證(sigchl) > JS驗證(js)。 | block |
final_plugin | WAF對用戶端請求最終執行的防護動作(final_action)對應的防護模組。取值:
您可以在Web Application Firewall控制台的頁面,配置以上防護模組。關於不同防護模組的介紹,請參見網站防護配置概述。 如果一個請求未觸發任何防護模組(包括命中了允許存取類規則、用戶端完成滑塊或JS驗證後觸發允許存取的情況),則不會記錄該欄位。 如果一個請求同時觸發了多個防護模組,則僅記錄最終執行的防護動作(final_action)對應的防護模組。 | waf |
final_rule_id | WAF對用戶端請求最終應用的防護規則的ID,即final_action對應的防護規則的ID。 | 115341 |
final_rule_type | WAF對用戶端請求最終應用的防護規則(final_rule_id)的子類型。 例如,在 | xss/webshell |
host | 用戶端要求標頭部的Host欄位,表示被訪問的網域名稱或IP地址。 | api.example.com |
http_cookie | 用戶端要求標頭部的Cookie欄位,表示訪問來源用戶端的Cookie資訊。 | k1=v1;k2=v2 |
http_referer | 用戶端要求標頭部的Referer欄位,表示請求的來源URL資訊。 如果請求無來源URL資訊,則該欄位顯示 | http://example.com |
http_user_agent | 用戶端要求標頭部的User-Agent欄位,包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。 | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for | 用戶端要求標頭部的X-Forwarded_For(XFF)欄位,用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。 | 47.100.XX.XX |
https | 是否是HTTPS請求。
| on |
matched_host | 用戶端請求匹配到的已接入WAF進行防護的網域名稱。 說明 由於WAF網站接入中支援配置泛網域名稱,所以用戶端請求可能匹配到某個泛網域名稱配置。例如,假設已接入WAF防護的網域名稱是*.aliyun.com,當被請求的URL是www.aliyun.com時,可能匹配到*.aliyun.com。 | *.aliyun.com |
real_client_ip | WAF對用戶端請求進行分析後,判定發起該請求的真實用戶端IP,便於您在業務中直接使用。 WAF無法判定真實用戶端IP時(例如,由於使用者通過Proxy 伺服器訪問、要求標頭中IP欄位有誤等),該欄位顯示 | 192.0.XX.XX |
request_length | 用戶端請求的位元組數,包含請求行、要求標頭和請求體。單位:Byte。 | 111111 |
request_method | 用戶端請求的要求方法。 | GET |
request_time_msec | WAF處理用戶端請求所用的時間。單位:毫秒。 | 44 |
request_traceid | WAF為用戶端請求產生的唯一標識。 | 7837b11715410386943437009ea1f0 |
request_uri | 請求的路徑+請求參數 | /news/search.php?id=1 |
server_protocol | 來源站點伺服器響應WAF回源請求的協議及版本號碼。 | HTTP/1.1 |
status | WAF響應用戶端請求的HTTP狀態代碼。例如,200(表示請求成功)。 | 200 |
src_port | 與WAF建立串連的連接埠。 如果WAF與用戶端直接連接,該欄位等同於用戶端連接埠;如果WAF前面還有其他七層代理(例如CDN),該欄位表示WAF的上一級代理的連接埠。 | 80 |
src_ip | 與WAF建立串連的IP。 如果WAF與用戶端直接連接,該欄位等同於用戶端IP;如果WAF前面還有其他七層代理(例如CDN),該欄位表示WAF的上一級代理的IP。 | 198.51.XX.XX |
start_time | 用戶端請求發起時間欄位,單位:秒 | 1696534058 |
time | 用戶端請求的發起時間。按照ISO 8601標準表示,並需要使用UTC時間,格式為 | 2018-05-02T16:03:59+08:00 |
upstream_addr | 來源站點伺服器的IP地址和連接埠。格式為 | 198.51.XX.XX:443 |
upstream_response_time | 來源站點伺服器響應WAF回源請求的時間與WAF將響應轉寄給用戶端的時間之和。單位:秒。 | 0.044 |
upstream_status | 來源站點伺服器響應WAF回源請求的HTTP狀態代碼。例如,200(表示請求成功)。 | 200 |
可選欄位
可選欄位表示您可手動設定是否要在WAF日誌中包含的欄位。WAF日誌中只記錄您已啟用的可選欄位。
啟用可選欄位將使WAF日誌佔用更多的儲存容量。如果您的日誌儲存容量充足,建議您啟用更多的可選欄位,便於進行更全面的日誌分析。關於配置可選欄位的具體操作,請參見修改日誌設定。
名稱 | 說明 | 取值樣本 |
account_action | 用戶端請求命中的賬戶安全規則對應的防護動作。取值僅有block,表示攔截。 關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
account_rule_id | 用戶端請求命中的賬戶安全規則的ID。 | 151235 |
account_test | 用戶端請求命中的賬戶安全規則對應的防護模式。取值:
| false |
acl_action | 用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
acl_rule_id | 用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則的ID。 | 151235 |
acl_test | 用戶端請求命中的IP黑名單、自訂防護策略(ACL存取控制)規則對應的防護模式。取值:
| false |
algorithm_action | 用戶端請求命中的典型爬蟲行為識別規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
algorithm_rule_id | 用戶端請求命中的典型爬蟲行為識別規則的ID。 | 151235 |
algorithm_test | 用戶端請求命中的典型爬蟲行為識別規則對應的防護模式。取值:
| false |
antifraud_action | 用戶端請求命中的Alibaba Antifraud Service規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
antifraud_test | 用戶端請求命中的Alibaba Antifraud Service規則對應的防護模式。取值:
| false |
antiscan_action | 用戶端請求命中的掃描防護規則對應的防護動作。取值僅有block,表示攔截。 關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
antiscan_rule_id | 用戶端請求命中的掃描防護規則的ID。 | 151235 |
antiscan_rule_type | 用戶端請求命中的掃描防護規則的類型。取值:
| highfreq |
antiscan_test | 用戶端請求命中的掃描防護規則對應的防護模式。取值:
| false |
block_action | 重要 由於WAF功能更新,該欄位已失效。新增欄位final_plugin用於替代該欄位。如果您在業務中使用了block_action,請儘快將其替換成final_plugin。 觸發了攔截動作的WAF防護類型。取值:
| waf |
body_bytes_sent | 服務端返回給用戶端的響應體的位元組數(不含回應標頭)。單位:Byte。 | 1111 |
cc_action | 用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
cc_rule_id | 用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則的ID。 | 151234 |
cc_test | 用戶端請求命中的CC安全防護、自訂防護策略(CC攻擊防護)規則對應的防護模式。取值:
| false |
deeplearning_action | 用戶端請求命中的深度學習引擎規則對應的防護動作。取值僅有block,表示攔截。 關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
deeplearning_rule_id | 用戶端請求命中的深度學習引擎規則的ID。 | 151238 |
deeplearning_rule_type | 用戶端請求命中的深度學習引擎規則的類型。取值:
| xss |
deeplearning_test | 用戶端請求命中的深度學習引擎規則對應的防護模式。取值:
| false |
dlp_action | 用戶端請求命中的防敏感資訊泄露規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | mask |
dlp_rule_id | 用戶端請求命中的防敏感資訊泄露規則的ID。 | 151245 |
dlp_test | 用戶端請求命中的防敏感資訊泄露規則對應的防護模式。取值:
| false |
intelligence_action | 用戶端請求命中的爬蟲威脅情報規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
intelligence_rule_id | 用戶端請求命中的爬蟲威脅情報規則的ID。 | 152234 |
intelligence_test | 用戶端請求命中的爬蟲威脅情報規則對應的防護模式。取值:
| false |
normalized_action | 用戶端請求命中的主動防禦規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
normalized_rule_id | 用戶端請求命中的主動防禦規則的ID。 | 151266 |
normalized_rule_type | 用戶端請求命中的主動防禦規則的類型。取值:
| User-Agent |
normalized_test | 用戶端請求命中的主動防禦規則對應的防護模式。取值:
| false |
querystring | 用戶端請求中的查詢字串,具體指被請求URL中問號(?)後面的部分。 | title=tm_content%3Darticle&pid=123 |
region | WAF執行個體的地區ID。取值:
| cn |
remote_addr | 與WAF建立串連的IP。 如果WAF與用戶端直接連接,該欄位等同於用戶端IP;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的IP。 | 198.51.XX.XX |
remote_port | 與WAF建立串連的連接埠。 如果WAF與用戶端直接連接,該欄位等同於用戶端連接埠;如果WAF前面還有其他七層代理(例如,CDN),該欄位表示上一級代理的連接埠。 | 80 |
request_body | 訪問請求體。 | i am the request body, encrypted or not! |
request_path | 被請求的相對路徑,具體指被請求URL中網域名稱後面且問號(?)前面的部分(不包含查詢字串)。 | /news/search.php |
scene_action | 用戶端請求命中的情境化配置規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
scene_id | 用戶端請求命中的情境化配置規則對應的情境ID。 | 151235 |
scene_rule_id | 用戶端請求命中的情境化配置規則的ID。 | 153678 |
scene_rule_type | 用戶端請求命中的情境化配置規則的類型。取值:
| bot_aialgo |
sigchl_invalid_type | 用戶端請求被動態令牌挑戰規則判定為異常的原因。取值:
| sigchl_invalid_sig |
scene_test | 用戶端請求命中的情境化配置規則對應的防護模式。取值:
| false |
server_port | 被請求的目的連接埠。 | 443 |
ssl_cipher | 用戶端請求使用的加密套件。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | 用戶端請求使用的SSL/TLS協議和版本。 | TLSv1.2 |
ua_browser | 發起請求的瀏覽器的名稱。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | ie9 |
ua_browser_family | 發起請求的瀏覽器所屬系列。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | internet explorer |
ua_browser_type | 發起請求的瀏覽器的類型。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | web_browser |
ua_browser_version | 發起請求的瀏覽器的版本。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | 9.0 |
ua_device_type | 發起請求的用戶端的裝置類型。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | computer |
ua_os | 發起請求的用戶端的作業系統類型。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | windows_7 |
ua_os_family | 發起請求的用戶端所屬的作業系統系列。 重要 WAF日誌已於2021年12月15日起不再支援該欄位(即使您在日誌設定中啟用了該可選欄位,WAF日誌中也無該欄位的記錄)。建議您通過http_user_agent(必選欄位)擷取用戶端請求的User-Agent相關資訊。 | windows |
user_id | 當前WAF執行個體所屬的阿里雲帳號ID。 | 17045741******** |
waf_action | 用戶端請求命中的規則防護引擎規則對應的防護動作。取值僅有block,表示攔截。 關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
waf_rule_id | 用戶端請求命中的規則防護引擎規則的ID。 | 113406 |
waf_rule_type | 用戶端請求命中的規則防護引擎規則的類型。取值:
| xss |
waf_test | 用戶端請求命中的規則防護引擎規則對應的防護模式。取值:
| false |
wxbb_action | 用戶端請求命中的App防護規則對應的防護動作。取值:
關於WAF防護動作的具體說明,請參見WAF防護動作(action)說明。 | block |
wxbb_invalid_wua | 用戶端請求被App防護規則判定為異常的原因。取值:
| wxbb_invalid_sign |
wxbb_rule_id | 用戶端請求命中的App防護規則的ID。 | 156789 |
wxbb_test | 用戶端請求命中的App防護規則對應的防護模式。取值:
| false |