介绍日志中包含的可选字段和必选字段 - Web 应用防火墙

本文介绍了Web应用防火墙（Web Application Firewall，简称WAF）日志中包含的专有字段的说明。

字段检索表

下表描述了WAF日志支持的专有字段。您可以通过字段名称检索需要了解的字段。

首字母	字段
a	自定义规则相关字段：acl_action \| acl_rule_id \| acl_rule_type \| acl_test 扫描防护相关字段：antiscan_action \| antiscan_rule_id \| antiscan_rule_type \| antiscan_test
b	服务端返回给客户端的响应体的字节数字段：body_bytes_sent 重要云产品（FC）接入WAF的防护对象，暂不支持body_bytes_sent字段。放行类规则ID字段：bypass_matched_ids
c	CC防护相关字段：cc_action \| cc_rule_id \| cc_rule_type \| cc_test 被请求的内容类型字段：content_type 命中协议违背攻击相关字段：compliance_hit \| compliance_action \| compliance_rule_id \| compliance_rule_type \| compliance_test
d	信息泄露防护相关字段：dlp_action \| dlp_rule_id \| dlp_test 被请求的目的端口字段：dst_port
f	对客户端请求最终执行的防护动作的相关字段：final_action \| final_plugin \| final_rule_id \| final_rule_type
h	客户端请求头部的相关字段：host \| http_cookie \| http_referer \| http_user_agent \| http_x_forwarded_for HTTPS请求字段：https
m	请求匹配的防护对象字段：matched_host 重保场景防护相关字段：major_protection_action \| major_protection_rule_id \| major_protection_rule_type \| major_protection_test
q	查询字符串字段：querystring
r	真实客户端IP字段：real_client_ip 实例地域ID字段：region 客户端响应的相关字段：response_set_cookie \| response_header \| response_info 重要云产品（MSE或FC）接入WAF的防护对象，暂不支持response_set_cookie、response_header、response_info字段。与WAF建立连接的IP和端口字段：remote_addr \| remote_port 客户端请求的相关字段：request_body \|request_headers_all\|request_header\| request_length \| request_method \| request_path \| request_time_msec \| request_traceid \| request_traceid_origin \| remote_region_id\|request_uri 重要云产品（MSE、FC）接入WAF的防护对象，暂不支持request_header字段。
s	被请求的WAF端口字段：server_port 重要云产品（FC）接入WAF的防护对象，暂不支持server_port字段。客户端和WAF之间的协议：server_protocol 重要云产品（FC）接入WAF的防护对象，暂不支持server_protocol字段。使用的加密套件或TLS字段：ssl_cipher \| ssl_protocol HTTP状态码字段：status Bot管理相关字段：scene_action \| scene_id \| scene_rule_id \| scene_rule_type \| scene_test \| wxbb_info_tbl 命中语义分析攻击相关字段：sema_hit \| sema_action \| sema_rule_id \| sema_rule_type \| sema_test 客户端请求发起时间字段：start_time 与WAF建立连接的IP和端口字段：src_ip\|src_port
t	客户端请求发起时间字段：time
u	源站响应WAF回源请求的相关字段：upstream_addr \| upstream_response_time \| upstream_status 重要云产品（FC）接入WAF的防护对象，暂不支持upstream_addr字段。账号ID字段：user_id
w	基础防护规则相关字段：waf_action \| waf_rule_id \| waf_rule_type \| waf_test 命中基础防护攻击相关字段：waf_hit

必选字段

必选字段表示WAF日志中一定包含的字段。

名称	说明	取值示例
bypass_matched_ids	客户端请求命中的WAF放行类规则的ID，具体包括白名单规则、设置了放行动作的自定义防护策略规则。如果请求同时命中了多条放行类规则，该字段会记录所有命中的规则ID。多个规则ID间使用半角逗号（,）分隔。	283531
content_type	被请求的内容类型。	application/x-www-form-urlencoded
dst_port	被请求的目的端口。重要云产品（FC）接入WAF的防护对象，暂不支持该字段。	443
final_action	WAF对客户端请求最终执行的防护动作。取值： block：表示拦截。 captcha_strict：表示严格滑块验证。 captcha：表示普通滑块验证。 sigchl：表示动态令牌验证。 js：表示JavaScript验证。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。如果一个请求未触发任何防护模块（包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况），则不会记录该字段。如果一个请求同时触发了多个防护模块，则仅记录最终执行的防护动作。防护动作的优先级由高到低依次为：拦截（block） > 严格滑块验证（captcha_strict） > 普通滑块验证（captcha） > JS校验（js）。	block
final_plugin	WAF对客户端请求最终执行的防护动作（final_action）对应的防护模块。取值： waf：表示基础防护规则。 acl：表示IP黑名单、自定义规则（访问控制）。 cc：表示CC安全防护、自定义防护策略（CC攻击防护）。 antiscan：表示扫描防护。 dlp：表示防敏感信息泄露。 scene：表示场景化配置（APP也包括在内） intelligence：表示爬虫威胁情报。 wxbb：表示App防护。 sema：语义防护。 scc_gdrl：洪峰限流。 major_protection：重保场景防护。 compliance：协议违背（协议合规）。如果一个请求未触发任何防护模块（包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况），则不会记录该字段。如果一个请求同时触发了多个防护模块，则仅记录最终执行的防护动作（final_action）对应的防护模块。	waf
final_rule_id	WAF对客户端请求最终应用的防护规则的ID，即final_action对应的防护规则的ID。	115341
final_rule_type	WAF对客户端请求最终应用的防护规则（final_rule_id）的子类型。例如，在`final_plugin:waf`类型下有`final_rule_type:sqli`、`final_rule_type:xss`等细分的规则类型。	xss/webShell
host	客户端请求头部的Host字段，表示被访问的域名（基于您的业务设置，也可能是IP地址）。	api.example.com
http_cookie	客户端请求头部的Cookie字段，表示访问来源客户端的Cookie信息。	k1=v1;k2=v2
http_referer	客户端请求头部的Referer字段，表示请求的来源URL信息。如果请求无来源URL信息，则该字段显示`-`。	http://example.com
http_user_agent	客户端请求头部的User-Agent字段，包含请求来源的客户端浏览器标识、操作系统标识等信息。	Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)
http_x_forwarded_for	客户端请求头部的X-Forwarded-For（XFF）字段，用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。	47.100.XX.XX
https	是否是HTTPS请求。取值为on，表示是HTTPS请求。如果为空，表示是HTTP请求。	on
matched_host	客户端请求匹配到的WAF防护对象（云产品实例、域名）。说明由于WAF防护对象支持配置泛域名，所以客户端请求可能匹配到某个泛域名对象。例如，假设已接入WAF防护的域名对象是.aliyundoc.com，当被请求的URL是www.aliyundoc.com时，可能匹配到.aliyundoc.com。	*.aliyundoc.com
request_uri	请求的路径+请求参数	/news/search.php?id=1
real_client_ip	WAF对客户端请求进行分析后，判定发起该请求的真实客户端IP，便于您在业务中直接使用。 WAF无法判定真实客户端IP时（例如，由于用户通过代理服务器访问、请求头中IP字段有误等），该字段显示`-`。	192.0.XX.XX
region	WAF实例的地域ID。取值： cn：表示中国内地。 int：表示非中国内地。	cn
src_port	与WAF建立连接的端口。如果WAF与客户端直接连接，该字段等同于客户端端口；如果WAF前面还有其他七层代理（例如CDN），该字段表示WAF的上一级代理的端口。	80
src_ip	与WAF建立连接的IP。如果WAF与客户端直接连接，该字段等同于客户端IP；如果WAF前面还有其他七层代理（例如CDN），该字段表示WAF的上一级代理的IP。	198.51.XX.XX
start_time	客户端请求发起时间字段，单位：秒。	1696534058
request_length	客户端请求的字节数，包含请求行、请求头和请求体。单位：Byte。	111111
request_method	客户端请求的方法。	GET
request_time_msec	WAF处理客户端请求所用的时间。单位：毫秒。	44
request_traceid	WAF为客户端请求生成的唯一标识。	7837b11715410386943437009ea1f0
request_traceid_origin	请求原始ID。	7ce319151*****18890e
remote_region_id	IP地址归属的省ID。	410000
server_protocol	客户端和WAF之间的协议重要云产品（FC）接入WAF的防护对象，暂不支持该字段。	HTTP/1.1
ssl_cipher	客户端请求使用的加密套件。	ECDHE-RSA-AES128-GCM-SHA256
ssl_protocol	客户端请求使用的SSL/TLS协议和版本。	TLSv1.2
status	WAF响应客户端请求的HTTP状态码。例如，200（表示请求成功）。	200
time	客户端请求的发起时间。按照ISO 8601标准表示，并需要使用UTC时间，格式为`yyyy-MM-ddTHH:mm:ss+08:00`。	2018-05-02T16:03:59+08:00
upstream_addr	源站服务器的IP地址和端口。格式为`IP:Port`。多个记录间使用半角逗号（,）分隔。重要云产品（FC）接入WAF的防护对象，暂不支持该字段。	198.51.XX.XX:443
upstream_response_time	源站服务器响应WAF回源请求的处理时间。单位：秒。	0.044
upstream_status	源站服务器响应WAF回源请求的HTTP状态码。例如，200（表示请求成功）。	200
user_id	当前WAF实例所属的阿里云账号ID。	17045741********

可选字段

可选字段表示您可以手动设置，是否要在WAF日志中包含的字段。WAF日志中只记录您已启用的可选字段。

启用可选字段将使WAF日志占用更多的存储容量。如果您的日志存储容量充足，建议您启用更多的可选字段，便于进行更全面的日志分析。关于配置可选字段的具体操作，请参见日志字段说明。

名称	说明	取值示例
acl_action	客户端请求命中的IP黑名单、自定义规则（访问控制）规则对应的防护动作。取值： block：表示拦截。 captcha_strict：表示严格滑块验证。 captcha：表示普通滑块验证。 js：表示JavaScript验证。 captcha_strict_pass：表示客户端通过了严格滑块验证，WAF放行客户端请求。 captcha_pass：表示客户端通过了普通滑块验证，WAF放行客户端请求。 js_pass：表示客户端通过了JS校验，WAF放行客户端请求。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
acl_rule_id	客户端请求命中的IP黑名单、自定义规则（访问控制）规则的ID。	151235
acl_rule_type	客户端请求命中的IP黑名单、自定义规则（访问控制）规则的类型。取值： custom：表示自定义规则（访问控制）规则。 blacklist：表示IP黑名单规则。 scene/basic：表示Bot基础防护。 region_block：表示区域封禁。 scene/appsdk_custom：表示Bot-APP防护。	custom
acl_test	客户端请求命中的IP黑名单、自定义规则（访问控制）规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	false
antiscan_action	客户端请求命中的扫描防护规则对应的防护动作。取值只有block，表示拦截。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
antiscan_rule_id	客户端请求命中的扫描防护规则的ID。	151235
antiscan_rule_type	客户端请求命中的扫描防护规则的类型。取值： highfreq：表示高频扫描封禁规则。 dirscan：表示目录遍历封禁规则。 scantools：表示扫描工具封禁规则。	highfreq
antiscan_test	客户端请求命中的扫描防护规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	false
body_bytes_sent	服务端返回给客户端的响应体的字节数（不含响应头）。单位：Byte。重要云产品（FC）接入WAF的防护对象，暂不支持该字段。	1111
cc_action	客户端请求命中的自定义规则（频率控制）规则对应的防护动作。取值： block：表示拦截。 captcha：表示普通滑块验证。 js：表示JavaScript校验。 captcha_pass：表示客户端通过了普通滑块验证，WAF放行客户端请求。 js_pass：表示客户端通过了JS校验，WAF放行客户端请求。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
cc_rule_id	客户端请求命中的自定义规则（频率控制）规则的ID。	151234
cc_rule_type	客户端请求命中的规则的类型。取值： custom：表示自定义规则（频率控制）规则。 system：表示CC安全防护规则。	custom
cc_test	客户端请求命中的自定义规则（频率控制）规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	false
request_body	访问请求体，最大支持存储8 KB。	test123curl -ki https://automated-acltest02.*.top/ --resolve automated-acltest02.*.top:443:39.107.XX.XX
request_headers_all	记录请求中的所有头部。	{ "Accept": "/", "Accept-Encoding": "gz, dete, r", "Accept-Language": "zh-Hans-CN;q=1", "Connection": "keep-ve", "Content-Length": "16", "Content-Type": "application/json", "Cookie": "cookie_key=; acw_tc=0abcopqrstuvwxyz07890;", "Host": "1.*.**.1", ... }
request_header	自定义请求头部，选中该字段后，需填写请求头名称。最多支持添加5个自定义请求头。多个请求头名称以英文逗号（,）隔开。重要云产品（MSE或FC）接入WAF的防护对象，暂不支持该字段。	{"ttt":"abcd"}
server_port	被请求的WAF端口。重要默认选中，云产品（FC）接入WAF的防护对象，暂不支持该字段。	443
waf_action	客户端请求命中的基础防护规则对应的防护动作。取值仅有block，表示拦截。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
waf_rule_id	客户端请求命中的基础防护规则的ID。说明该规则ID对应您在安全报表页面的基础防护规则页签下，通过规则命中记录列表，查看到的规则ID。更多信息，请参见基础防护规则。	113406
waf_rule_type	客户端请求命中的基础防护规则的类型。取值： xss：表示跨站脚本防护规则。 code_exec：表示代码执行防护规则。 webshell：表示webShell防护规则。 sqli：表示SQL注入防护规则。 lfilei：表示本地文件包含防护规则。 rfilei：表示远程文件包含防护规则。 other：表示其他防护规则。	xss
waf_test	客户端请求命中的基础防护规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	false
major_protection_action	客户端请求命中的重保场景防护模板对应的防护动作。关于WAF防护动作的具体说明，请参见WAF防护动作（*_action）含义说明。	block
major_protection_rule_id	客户端请求命中的重保场景防护模板对应的规则ID。	2221
major_protection_rule_type	客户端请求命中的重保场景防护模板对应的规则类型。取值： waf_blocks：表示重保防护规则组。 threat_intelligence：表示重保威胁情报。 blacklist：表示重保IP黑名单。 shiro：表示Shiro反序列化漏洞防护。	waf_blocks
major_protection_test	客户端请求命中的重保场景防护对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	true
response_set_cookie	客户端响应下发的Cookie。重要云产品（MSE或FC）接入WAF的防护对象，暂不支持该字段。	acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800
response_header	客户端的全部响应头部。重要云产品（MSE或FC）接入WAF的防护对象，暂不支持该字段。	{"transfer-encoding":"chunked","set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"}
response_info	客户端的响应体，最大支持存储16KB。当content-encoding头部为gzip时，响应体记录为base64编码。重要云产品（ALB、MSE或FC）接入WAF的防护对象，暂不支持该字段。	$_POST接收：<br/>Array ( [*] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA']接收：<br/> <hr/> php://input接收：*
request_path	被请求的相对路径，具体指被请求URL中域名后面且问号（?）前面的部分（不包含查询字符串）。说明默认选中。	/news/search.php
dlp_action	客户端请求命中的信息泄露防护规则对应的防护动作。取值： monitor：表示观察。 block：表示拦截。 filter：表示打码。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
dlp_rule_id	客户端请求命中的信息泄露防护规则的ID。	20031483
dlp_test	客户端请求命中的信息泄露防护规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	true
querystring	客户端请求中的查询字符串，具体指被请求URL中问号（?）后面的部分。说明默认选中。	title=tm_content%3Darticle&pid=123
scene_action	客户端请求命中的Bot管理场景化配置规则对应的防护动作。取值： js：表示JS校验。 sigchl：表示动态令牌挑战。 block：表示拦截。 monitor：表示观察。 bypass：表示放行。 captcha：表示滑块校验。 captcha_strict：表示严格滑块校验。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	js
scene_id	客户端请求命中的Bot管理场景化配置规则对应的场景ID。	a82d992b_bc8c_47f0_87ce_******
scene_rule_id	客户端请求命中的Bot管理场景化配置规则的ID和基础防护配置规则ID。	js-a82d992b_bc8c_47f0_87ce_******
scene_rule_type	客户端请求命中的Bot管理场景化配置规则的类型。取值： bot_aialgo：表示AI智能防护规则。 cc：表示自定义限速规则。 intelligence：表示威胁情报。 js：表示JS校验。 sigchl：表示动态令牌规则。 sdk：表示SDK签名和设备采集规则、二次打包检测规则。	bot_aialgo
scene_test	客户端请求命中的Bot管理场景化配置规则对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	true
remote_addr	与WAF建立连接的IP。如果WAF与客户端直接连接，该字段等同于客户端IP；如果WAF前面还有其他七层代理（例如CDN），该字段表示WAF的上一级代理的IP。说明默认选中。	198.51.XX.XX
remote_port	与WAF建立连接的端口。如果WAF与客户端直接连接，该字段等同于客户端端口；如果WAF前面还有其他七层代理（例如CDN），该字段表示WAF的上一级代理的端口。说明默认选中。	80
waf_hit	命中基础防护攻击内容。	{"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}}
compliance_hit	命中协议违背攻击内容。	**********7df271da040a
compliance_action	客户端请求命中的协议合规对应的防护动作。取值仅有block，表示拦截。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
compliance_rule_id	客户端请求命中的协议合规的ID。	300033
compliance_rule_type	客户端请求命中协议合规的类型。取值仅有protocol_violation	protocol_violation
compliance_test	客户端请求命中的协议合规对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中协议合规的请求执行拦截等防护动作。	false
sema_hit	命中语义分析攻击内容。	{"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}}
sema_action	客户端请求命中的语义分析对应的防护动作。取值仅有block，表示拦截。关于WAF防护动作的具体含义，请参见WAF防护动作（*_action）含义说明。	block
sema_rule_id	客户端请求命中的语义分析ID。	810015
sema_rule_type	客户端请求命中语义分析的类型。取值仅有sqli，表示SQL注入防护规则。	sqli
sema_test	客户端请求命中的语义分析对应的防护模式。取值： true：表示观察模式，即仅记录日志，不触发拦截等防护动作。 false：表示防护模式，WAF对命中防护规则的请求执行拦截等防护动作。	false
wxbb_info_tbl	命中BOT管理中APP防护规则的设备信息。	{ "abnormal_imei": "0", "abnormal_time": "1", *** "appversion": "9.4.3", "brand": "Android", *** }

WAF防护动作（*_action）含义说明

说明

*_action表示不同防护规则的防护动作，例如，final_action表示WAF最终执行的防护动作、waf_action表示基础防护规则对应的防护动作。不同防护规则支持的具体防护动作不同，以对应参数描述内容为准。

下表介绍了WAF支持的所有防护动作的含义。

防护动作	含义
block	表示拦截，即WAF拦截客户端请求并向客户端返回405页面。
captcha_strict	表示严格滑块验证，即WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF放行本次请求，否则拦截请求。严格滑块验证模式下，客户端的每次请求都需要验证。
captcha	表示普通滑块验证，即WAF向客户端返回滑动验证页面。如果客户端成功执行滑动验证，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。
js	表示JavaScript校验，即WAF向客户端返回一段正常浏览器可以自动执行的JavaScript代码。如果客户端正常执行了JavaScript代码，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求（不需要重复验证），否则拦截请求。
js_pass	表示客户端通过了JavaScript校验，WAF放行客户端请求。
sigchl	表示动态令牌验证，即Web端请求加签。客户端发送请求时经过了WAF下发的webSDK针对请求进行加签保护，并将签名随请求上报。如果加签验签正常，则该请求直接回源，否则会返回一段动态令牌执行代码要求客户端重新加签请求。

首字母	字段
a	自定义规则相关字段：acl_action \| acl_rule_id \| acl_rule_type \| acl_test 扫描防护相关字段：antiscan_action \| antiscan_rule_id \| antiscan_rule_type \| antiscan_test
b	服务端返回给客户端的响应体的字节数字段：body_bytes_sent 重要云产品（FC）接入WAF的防护对象，暂不支持body_bytes_sent字段。放行类规则ID字段：bypass_matched_ids
c	CC防护相关字段：cc_action \| cc_rule_id \| cc_rule_type \| cc_test 被请求的内容类型字段：content_type 命中协议违背攻击相关字段：compliance_hit \| compliance_action \| compliance_rule_id \| compliance_rule_type \| compliance_test
d	信息泄露防护相关字段：dlp_action \| dlp_rule_id \| dlp_test 被请求的目的端口字段：dst_port
f	对客户端请求最终执行的防护动作的相关字段：final_action \| final_plugin \| final_rule_id \| final_rule_type
h	客户端请求头部的相关字段：host \| http_cookie \| http_referer \| http_user_agent \| http_x_forwarded_for HTTPS请求字段：https
m	请求匹配的防护对象字段：matched_host 重保场景防护相关字段：major_protection_action \| major_protection_rule_id \| major_protection_rule_type \| major_protection_test
q	查询字符串字段：querystring
r	真实客户端IP字段：real_client_ip 实例地域ID字段：region 客户端响应的相关字段：response_set_cookie \| response_header \| response_info 重要云产品（MSE或FC）接入WAF的防护对象，暂不支持response_set_cookie、response_header、response_info字段。与WAF建立连接的IP和端口字段：remote_addr \| remote_port 客户端请求的相关字段：request_body \|request_headers_all\|request_header\| request_length \| request_method \| request_path \| request_time_msec \| request_traceid \| request_traceid_origin \| remote_region_id\|request_uri 重要云产品（MSE、FC）接入WAF的防护对象，暂不支持request_header字段。
s	被请求的WAF端口字段：server_port 重要云产品（FC）接入WAF的防护对象，暂不支持server_port字段。客户端和WAF之间的协议：server_protocol 重要云产品（FC）接入WAF的防护对象，暂不支持server_protocol字段。使用的加密套件或TLS字段：ssl_cipher \| ssl_protocol HTTP状态码字段：status Bot管理相关字段：scene_action \| scene_id \| scene_rule_id \| scene_rule_type \| scene_test \| wxbb_info_tbl 命中语义分析攻击相关字段：sema_hit \| sema_action \| sema_rule_id \| sema_rule_type \| sema_test 客户端请求发起时间字段：start_time 与WAF建立连接的IP和端口字段：src_ip\|src_port
t	客户端请求发起时间字段：time
u	源站响应WAF回源请求的相关字段：upstream_addr \| upstream_response_time \| upstream_status 重要云产品（FC）接入WAF的防护对象，暂不支持upstream_addr字段。账号ID字段：user_id
w	基础防护规则相关字段：waf_action \| waf_rule_id \| waf_rule_type \| waf_test 命中基础防护攻击相关字段：waf_hit