全部产品
Search
文档中心

DDoS 防护:全量日志字段说明

更新时间:Nov 19, 2024

本文介绍了DDoS高防全量日志包含的日志字段。

基本信息

字段

说明

示例

__topic__

日志主题,取值固定为ddos_access_log,表示DDoS高防日志。

ddos_access_log

user_id

阿里云账号ID。

166688437215****

HTTP请求

字段

说明

示例

body_bytes_sent

请求发送Body的大小,单位为字节。

2

content_type

内容类型。

application/x-www-form-urlencoded

host

源网站。

api.aliyundoc.com

http_cookie

请求Cookie。

k1=v1;k2=v2

http_referer

请求Referer。如果没有Referer,返回-

http://aliyundoc.com

http_user_agent

请求UserAgent。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

http_x_forwarded_for

通过代理跳转的上游用户IP。

192.0.XX.XX

https

该请求是否为HTTPS请求。取值:true、false。

true

matched_host

匹配的配置的源站域名(可能是泛域名)。未匹配到时返回-

*.aliyundoc.com

real_client_ip

请求的真实来源IP。获取不到时返回-

192.0.XX.XX

isp_line

线路信息,例如BGP、电信、联通等。

电信

remote_addr

请求连接的客户端IP。

192.0.XX.XX

remote_port

请求连接的客户端端口号。

23713

request_length

请求长度,单位为字节。

123

request_method

请求的HTTP方法。

GET

request_time_msec

请求时间,单位为毫秒。

44

request_uri

请求路径。

/answers/377971214/banner

server_name

匹配到的主机名。如果没有匹配到,返回default

api.aliyundoc.com

status

HTTP状态。

200

time

请求时间。

2018-05-02T16:03:59+08:00

querystring

请求字符串。

token=bbcd&abc=123

upstream_addr

回源地址列表,格式为IP:Port,多个地址用半角逗号(,)分隔。

192.0.XX.XX:443

upstream_ip

回源IP。

192.0.XX.XX

upstream_response_time

回源响应时间,单位为秒。

说明

旧版本famax引擎,单位为毫秒。

0.044

upstream_status

回源请求HTTP状态。

200

vip_addr

DDoS高防实例的IP地址。

203.107.XX.XX

http2_client_fingerprint

HTTP2客户端的原始指纹。

2:0;4:2097152;3:100|10485760|0|m,s,p,a

http2_client_fingerprint_md5

提取HTTP2客户端的原始指纹,然后利用MD5算法对这些信息进行哈希处理,生成一个固定长度(128位,即32个字符)的MD5哈希值。

用来分析和识别不同的客户端,实现更安全和高效的通信。

ad8424af1cc590e09f7b0c499bf7fcdb

ssl_client_ja3_fingerprinting

客户端的JA3原始指纹。包含TLS握手过程中的关键参数,例如TLS版本、密码套件、压缩算法和TLS扩展等信息。

771,4865-49195-49196-49197,29,0

ssl_client_ja3_fingerprinting_md5

由JA3原始指纹生成的MD5哈希值。

c1bd7c674bbec9f0f2474e3eee3564f4

ssl_client_ja4_fingerprinting

客户端的JA4原始指纹。包含TLS握手过程中的关键参数,例如TLS版本、密码套件、压缩算法和TLS扩展、浏览器的版本、操作系统等信息。

t13d1516h2_acb858a92679_e5627efa2ab1

ssl_client_ja4_fingerprinting_md5

由JA4原始指纹生成的MD5哈希值。

8c3d99fb6ed08a39c799aad27b4854f4

客户端信息

字段

说明

示例

ua_browser

浏览器标识。

说明

部分情况下,日志中可能不存在该字段。

ie9

ua_browser_family

浏览器系列。

说明

部分情况下,日志中可能不存在该字段。

internet explorer

ua_browser_type

浏览器类型。

说明

部分情况下,日志中可能不存在该字段。

web_browser

ua_browser_version

浏览器版本。

说明

部分情况下,日志中可能不存在该字段。

9.0

ua_device_type

客户端设备类型。

说明

部分情况下,日志中可能不存在该字段。

computer

ua_os

客户端操作系统标识。

说明

部分情况下,日志中可能不存在该字段。

windows_7

ua_os_family

客户端操作系统系列。

说明

部分情况下,日志中可能不存在该字段。

windows

server_protocol

源站服务器响应DDoS高防回源请求的协议及版本号。

HTTP/1.1

ssl_protocol

客户端请求使用的SSL/TLS协议和版本。

TLSv1.2

ssl_cipher

客户端请求使用的加密套件。

ECDHE-RSA-AES128-GCM-SHA256

ssl_handshake_time

客户端TLS握手完成时间,单位ms。

99

防护策略

字段

说明

示例

cc_action

CC防护策略的动作。取值:

  • accept:放行访问请求。

  • block:阻断访问请求。

  • challenge:通过挑战算法对访问请求的源IP地址发起校验。

  • alarm:表示命中观察规则,并放行该访问请求。

accept

cc_blocks

请求是否被CC防护策略阻断。取值:

  • 1:表示阻断。

  • 其他内容表示通过。

说明

部分情况下,日志中可能不存在该字段。而是以last_result字段记录请求是否被CC防护策略阻断。

1

cc_phase

防护策略类型。取值:

  • 新版本tengine引擎

    • gfbwip:黑白名单

    • gfcc:CC防护模式

    • gfacl:自定义防护策略

    • gfglobal:全局防护策略

    • gfareaban:区域封禁

  • 旧版本famax引擎

    • ipFilter:黑白名单

    • statProtect:CC防护模式

    • preciseProtect:自定义防护策略

    • regionBLock:区域封禁

gfbwip

last_module

网站业务防护策略类型。取值:

  • gfareaban:区域封禁

  • gfbwip:黑白名单

  • gfacl:精准访问控制

  • gfcc:CC拦截

  • gfglobal:全局防护策略

gfareaban

last_owner

网站防护策略的规则名称,包含DDoS高防自动下发的防护策略以及用户自定义的防护策略。

DDoS高防自动下发的防护策略包含:

  • smartcc_ 开头:表示AI智能防护策略。

  • global开头:表示全局防护策略。

  • gf_internal开头:表示系统内置的CC安全防护策略。

global_th_4_C_****|global

last_result

请求对应的最终防护动作。取值:

  • ok:表示通过。

  • failed:表示不通过,包括校验未通过和阻断。

说明

部分情况下,日志中可能不存在该字段。而是以cc_blocks字段记录请求是否被CC防护策略阻断。

failed