本文介绍了DDoS高防全量日志包含的日志字段。
基本信息
字段 | 说明 | 示例 |
__topic__ | 日志主题,取值固定为ddos_access_log,表示DDoS高防日志。 | ddos_access_log |
user_id | 阿里云账号ID。 | 166688437215**** |
HTTP请求
字段 | 说明 | 示例 |
body_bytes_sent | 请求发送Body的大小,单位为字节。 | 2 |
content_type | 内容类型。 | application/x-www-form-urlencoded |
host | 源网站。 | api.aliyundoc.com |
http_cookie | 请求Cookie。 | k1=v1;k2=v2 |
http_referer | 请求Referer。如果没有Referer,返回 | http://aliyundoc.com |
http_user_agent | 请求UserAgent。 | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for | 通过代理跳转的上游用户IP。 | 192.0.XX.XX |
https | 该请求是否为HTTPS请求。取值:true、false。 | true |
matched_host | 匹配的配置的源站域名(可能是泛域名)。未匹配到时返回 | *.aliyundoc.com |
real_client_ip | 请求的真实来源IP。获取不到时返回 | 192.0.XX.XX |
isp_line | 线路信息,例如BGP、电信、联通等。 | 电信 |
remote_addr | 请求连接的客户端IP。 | 192.0.XX.XX |
remote_port | 请求连接的客户端端口号。 | 23713 |
request_length | 请求长度,单位为字节。 | 123 |
request_method | 请求的HTTP方法。 | GET |
request_time_msec | 请求时间,单位为毫秒。 | 44 |
request_uri | 请求路径。 | /answers/377971214/banner |
server_name | 匹配到的主机名。如果没有匹配到,返回 | api.aliyundoc.com |
status | HTTP状态。 | 200 |
time | 请求时间。 | 2018-05-02T16:03:59+08:00 |
querystring | 请求字符串。 | token=bbcd&abc=123 |
upstream_addr | 回源地址列表,格式为 | 192.0.XX.XX:443 |
upstream_ip | 回源IP。 | 192.0.XX.XX |
upstream_response_time | 回源响应时间,单位为秒。 说明 旧版本famax引擎,单位为毫秒。 | 0.044 |
upstream_status | 回源请求HTTP状态。 | 200 |
vip_addr | DDoS高防实例的IP地址。 | 203.107.XX.XX |
http2_client_fingerprint | HTTP2客户端的原始指纹。 | 2:0;4:2097152;3:100|10485760|0|m,s,p,a |
http2_client_fingerprint_md5 | 提取HTTP2客户端的原始指纹,然后利用MD5算法对这些信息进行哈希处理,生成一个固定长度(128位,即32个字符)的MD5哈希值。 用来分析和识别不同的客户端,实现更安全和高效的通信。 | ad8424af1cc590e09f7b0c499bf7fcdb |
ssl_client_ja3_fingerprinting | 客户端的JA3原始指纹。包含TLS握手过程中的关键参数,例如TLS版本、密码套件、压缩算法和TLS扩展等信息。 | 771,4865-49195-49196-49197,29,0 |
ssl_client_ja3_fingerprinting_md5 | 由JA3原始指纹生成的MD5哈希值。 | c1bd7c674bbec9f0f2474e3eee3564f4 |
ssl_client_ja4_fingerprinting | 客户端的JA4原始指纹。包含TLS握手过程中的关键参数,例如TLS版本、密码套件、压缩算法和TLS扩展、浏览器的版本、操作系统等信息。 | t13d1516h2_acb858a92679_e5627efa2ab1 |
ssl_client_ja4_fingerprinting_md5 | 由JA4原始指纹生成的MD5哈希值。 | 8c3d99fb6ed08a39c799aad27b4854f4 |
客户端信息
字段 | 说明 | 示例 |
ua_browser | 浏览器标识。 说明 部分情况下,日志中可能不存在该字段。 | ie9 |
ua_browser_family | 浏览器系列。 说明 部分情况下,日志中可能不存在该字段。 | internet explorer |
ua_browser_type | 浏览器类型。 说明 部分情况下,日志中可能不存在该字段。 | web_browser |
ua_browser_version | 浏览器版本。 说明 部分情况下,日志中可能不存在该字段。 | 9.0 |
ua_device_type | 客户端设备类型。 说明 部分情况下,日志中可能不存在该字段。 | computer |
ua_os | 客户端操作系统标识。 说明 部分情况下,日志中可能不存在该字段。 | windows_7 |
ua_os_family | 客户端操作系统系列。 说明 部分情况下,日志中可能不存在该字段。 | windows |
server_protocol | 源站服务器响应DDoS高防回源请求的协议及版本号。 | HTTP/1.1 |
ssl_protocol | 客户端请求使用的SSL/TLS协议和版本。 | TLSv1.2 |
ssl_cipher | 客户端请求使用的加密套件。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_handshake_time | 客户端TLS握手完成时间,单位ms。 | 99 |
防护策略
字段 | 说明 | 示例 |
cc_action | CC防护策略的动作。取值:
| accept |
cc_blocks | 请求是否被CC防护策略阻断。取值:
说明 部分情况下,日志中可能不存在该字段。而是以 | 1 |
cc_phase | 防护策略类型。取值:
| gfbwip |
last_module | 网站业务防护策略类型。取值:
| gfareaban |
last_owner | 网站防护策略的规则名称,包含DDoS高防自动下发的防护策略以及用户自定义的防护策略。 DDoS高防自动下发的防护策略包含:
| global_th_4_C_****|global |
last_result | 请求对应的最终防护动作。取值:
说明 部分情况下,日志中可能不存在该字段。而是以 | failed |