首字母

字段

a

• 自定義規(guī)則相關(guān)字段：acl_action | acl_rule_id | acl_rule_type | acl_test

• 掃描防護(hù)相關(guān)字段：antiscan_action | antiscan_rule_id | antiscan_rule_type | antiscan_test

b

• 服務(wù)端返回給客戶端的響應(yīng)體的字節(jié)數(shù)字段：body_bytes_sent

  重要

  云產(chǎn)品（FC）接入WAF的防護(hù)對象，暫不支持body_bytes_sent字段。

• 放行類規(guī)則ID字段：bypass_matched_ids

c

• CC防護(hù)相關(guān)字段：cc_action | cc_rule_id | cc_rule_type | cc_test

• 被請求的內(nèi)容類型字段：content_type

• 命中協(xié)議違背攻擊相關(guān)字段：compliance_hit | compliance_action | compliance_rule_id | compliance_rule_type | compliance_test

d

• 信息泄露防護(hù)相關(guān)字段：dlp_action | dlp_rule_id | dlp_test

• 被請求的目的端口字段：dst_port

f

對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作的相關(guān)字段：final_action | final_plugin | final_rule_id | final_rule_type

h

• 客戶端請求頭部的相關(guān)字段：host | http_cookie | http_referer | http_user_agent | http_x_forwarded_for

• HTTPS請求字段：https

m

• 請求匹配的防護(hù)對象字段：matched_host

• 重保場景防護(hù)相關(guān)字段：major_protection_action | major_protection_rule_id | major_protection_rule_type | major_protection_test

q

查詢字符串字段：querystring

r

• 真實(shí)客戶端IP字段：real_client_ip

• 實(shí)例地域ID字段：region

• 客戶端響應(yīng)的相關(guān)字段：response_set_cookie | response_header | response_info

  重要

  云產(chǎn)品（MSE或FC）接入WAF的防護(hù)對象，暫不支持response_set_cookie、response_header、response_info字段。

• 與WAF建立連接的IP和端口字段：remote_addr | remote_port

• 客戶端請求的相關(guān)字段：request_body |request_headers_all|request_header| request_length | request_method | request_path | request_time_msec | request_traceid | request_traceid_origin | remote_region_id|request_uri

  重要

  云產(chǎn)品（MSE、FC）接入WAF的防護(hù)對象，暫不支持request_header字段。

s

• 被請求的目的端口字段：server_port

  重要

  云產(chǎn)品（FC）接入WAF的防護(hù)對象，暫不支持server_port字段。

• 源站響應(yīng)WAF回源請求的協(xié)議及版本號(hào)字段：server_protocol

  重要

  云產(chǎn)品（FC）接入WAF的防護(hù)對象，暫不支持server_protocol字段。

• 使用的加密套件或TLS字段：ssl_cipher | ssl_protocol

• HTTP狀態(tài)碼字段：status

• Bot管理相關(guān)字段：scene_action | scene_id | scene_rule_id | scene_rule_type | scene_test | wxbb_info_tbl

• 命中語義分析攻擊相關(guān)字段：sema_hit | sema_action | sema_rule_id | sema_rule_type | sema_test

• 客戶端請求發(fā)起時(shí)間字段：start_time

• 與WAF建立連接的IP和端口字段：src_ip|src_port

t

客戶端請求發(fā)起時(shí)間字段：time

u

• 源站響應(yīng)WAF回源請求的相關(guān)字段：upstream_addr | upstream_response_time | upstream_status

  重要

  云產(chǎn)品（FC）接入WAF的防護(hù)對象，暫不支持upstream_addr字段。

• 賬號(hào)ID字段：user_id

w

• 基礎(chǔ)防護(hù)規(guī)則相關(guān)字段：waf_action | waf_rule_id | waf_rule_type | waf_test

• 命中基礎(chǔ)防護(hù)攻擊相關(guān)字段：waf_hit

名稱

說明

取值示例

bypass_matched_ids

客戶端請求命中的WAF放行類規(guī)則的ID，具體包括白名單規(guī)則、設(shè)置了放行動(dòng)作的自定義防護(hù)策略規(guī)則。

如果請求同時(shí)命中了多條放行類規(guī)則，該字段會(huì)記錄所有命中的規(guī)則ID。多個(gè)規(guī)則ID間使用半角逗號(hào)（,）分隔。

283531

content_type

被請求的內(nèi)容類型。

application/x-www-form-urlencoded

dst_port

被請求的目的端口。

443

final_action

WAF對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作。取值：

• block：表示攔截。

• captcha_strict：表示嚴(yán)格滑塊驗(yàn)證。

• captcha：表示普通滑塊驗(yàn)證。

• sigchl：表示動(dòng)態(tài)令牌驗(yàn)證。

• js：表示JavaScript驗(yàn)證。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

如果一個(gè)請求未觸發(fā)任何防護(hù)模塊（包括命中了放行類規(guī)則、客戶端完成滑塊或JS校驗(yàn)后觸發(fā)放行的情況），則不會(huì)記錄該字段。

如果一個(gè)請求同時(shí)觸發(fā)了多個(gè)防護(hù)模塊，則僅記錄最終執(zhí)行的防護(hù)動(dòng)作。防護(hù)動(dòng)作的優(yōu)先級由高到低依次為：攔截（block） > 嚴(yán)格滑塊驗(yàn)證（captcha_strict） > 普通滑塊驗(yàn)證（captcha） > JS校驗(yàn)（js）。

block

final_plugin

WAF對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作（final_action）對應(yīng)的防護(hù)模塊。取值：

• waf：表示基礎(chǔ)防護(hù)規(guī)則。

• acl：表示IP黑名單、自定義規(guī)則（訪問控制）。

• cc：表示CC安全防護(hù)、自定義防護(hù)策略（CC攻擊防護(hù)）。

• antiscan：表示掃描防護(hù)。

• dlp：表示防敏感信息泄露。

• scene：表示場景化配置（APP也包括在內(nèi)）

• intelligence：表示爬蟲威脅情報(bào)。

• wxbb：表示App防護(hù)。

• sema：語義防護(hù)。

• scc_gdrl：洪峰限流。

• major_protection：重保場景防護(hù)。

• compliance：協(xié)議違背（協(xié)議合規(guī)）。

如果一個(gè)請求未觸發(fā)任何防護(hù)模塊（包括命中了放行類規(guī)則、客戶端完成滑塊或JS校驗(yàn)后觸發(fā)放行的情況），則不會(huì)記錄該字段。

如果一個(gè)請求同時(shí)觸發(fā)了多個(gè)防護(hù)模塊，則僅記錄最終執(zhí)行的防護(hù)動(dòng)作（final_action）對應(yīng)的防護(hù)模塊。

waf

final_rule_id

WAF對客戶端請求最終應(yīng)用的防護(hù)規(guī)則的ID，即final_action對應(yīng)的防護(hù)規(guī)則的ID。

115341

final_rule_type

WAF對客戶端請求最終應(yīng)用的防護(hù)規(guī)則（final_rule_id）的子類型。

例如，在final_plugin:waf類型下有final_rule_type:sqli、final_rule_type:xss等細(xì)分的規(guī)則類型。

xss/webShell

host

客戶端請求頭部的Host字段，表示被訪問的域名（基于您的業(yè)務(wù)設(shè)置，也可能是IP地址）。

api.example.com

http_cookie

客戶端請求頭部的Cookie字段，表示訪問來源客戶端的Cookie信息。

k1=v1;k2=v2

http_referer

客戶端請求頭部的Referer字段，表示請求的來源URL信息。

如果請求無來源URL信息，則該字段顯示-。

http://example.com

http_user_agent

客戶端請求頭部的User-Agent字段，包含請求來源的客戶端瀏覽器標(biāo)識(shí)、操作系統(tǒng)標(biāo)識(shí)等信息。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

http_x_forwarded_for

客戶端請求頭部的X-Forwarded-For（XFF）字段，用于識(shí)別通過HTTP代理或負(fù)載均衡方式連接到Web服務(wù)器的客戶端最原始的IP地址。

47.100.XX.XX

https

是否是HTTPS請求。

• 取值為on，表示是HTTPS請求。

• 如果為空，表示是HTTP請求。

on

matched_host

客戶端請求匹配到的WAF防護(hù)對象（云產(chǎn)品實(shí)例、域名）。

*.aliyundoc.com

request_uri

請求的路徑+請求參數(shù)

/news/search.php?id=1

real_client_ip

WAF對客戶端請求進(jìn)行分析后，判定發(fā)起該請求的真實(shí)客戶端IP，便于您在業(yè)務(wù)中直接使用。

WAF無法判定真實(shí)客戶端IP時(shí)（例如，由于用戶通過代理服務(wù)器訪問、請求頭中IP字段有誤等），該字段顯示-。

192.0.XX.XX

region

WAF實(shí)例的地域ID。取值：

• cn：表示中國內(nèi)地。

• int：表示非中國內(nèi)地。

cn

src_port

與WAF建立連接的端口。

如果WAF與客戶端直接連接，該字段等同于客戶端端口；如果WAF前面還有其他七層代理（例如CDN），該字段表示W(wǎng)AF的上一級代理的端口。

80

src_ip

與WAF建立連接的IP。

如果WAF與客戶端直接連接，該字段等同于客戶端IP；如果WAF前面還有其他七層代理（例如CDN），該字段表示W(wǎng)AF的上一級代理的IP。

198.51.XX.XX

start_time

客戶端請求發(fā)起時(shí)間字段，單位：秒。

1696534058

request_length

客戶端請求的字節(jié)數(shù)，包含請求行、請求頭和請求體。單位：Byte。

111111

request_method

客戶端請求的方法。

GET

request_time_msec

WAF處理客戶端請求所用的時(shí)間。單位：毫秒。

44

request_traceid

WAF為客戶端請求生成的唯一標(biāo)識(shí)。

7837b11715410386943437009ea1f0

request_traceid_origin 

請求原始ID。

7ce319151*****18890e

remote_region_id

IP地址歸屬的省ID。

410000

server_protocol

源站服務(wù)器響應(yīng)WAF回源請求的協(xié)議及版本號(hào)。

HTTP/1.1

ssl_cipher

客戶端請求使用的加密套件。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

客戶端請求使用的SSL/TLS協(xié)議和版本。

TLSv1.2

status

WAF響應(yīng)客戶端請求的HTTP狀態(tài)碼。例如，200（表示請求成功）。

200

time

客戶端請求的發(fā)起時(shí)間。按照ISO 8601標(biāo)準(zhǔn)表示，并需要使用UTC時(shí)間，格式為yyyy-MM-ddTHH:mm:ss+08:00。

2018-05-02T16:03:59+08:00

upstream_addr

源站服務(wù)器的IP地址和端口。格式為IP:Port。多個(gè)記錄間使用半角逗號(hào)（,）分隔。

198.51.XX.XX:443

upstream_response_time

源站服務(wù)器響應(yīng)WAF回源請求的處理時(shí)間。單位：秒。

0.044

upstream_status

源站服務(wù)器響應(yīng)WAF回源請求的HTTP狀態(tài)碼。例如，200（表示請求成功）。

200

user_id

當(dāng)前WAF實(shí)例所屬的阿里云賬號(hào)ID。

17045741********

名稱

說明

取值示例

acl_action

客戶端請求命中的IP黑名單、自定義規(guī)則（訪問控制）規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值：

• block：表示攔截。

• captcha_strict：表示嚴(yán)格滑塊驗(yàn)證。

• captcha：表示普通滑塊驗(yàn)證。

• js：表示JavaScript驗(yàn)證。

• captcha_strict_pass：表示客戶端通過了嚴(yán)格滑塊驗(yàn)證，WAF放行客戶端請求。

• captcha_pass：表示客戶端通過了普通滑塊驗(yàn)證，WAF放行客戶端請求。

• js_pass：表示客戶端通過了JS校驗(yàn)，WAF放行客戶端請求。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

acl_rule_id

客戶端請求命中的IP黑名單、自定義規(guī)則（訪問控制）規(guī)則的ID。

151235

acl_rule_type

客戶端請求命中的IP黑名單、自定義規(guī)則（訪問控制）規(guī)則的類型。取值：

• custom：表示自定義規(guī)則（訪問控制）規(guī)則。

• blacklist：表示IP黑名單規(guī)則。

• scene_basic：表示Bot基礎(chǔ)防護(hù)。

• region_block：表示區(qū)域封禁。

• scene_appsdk_custom：表示Bot-APP防護(hù)。

custom

acl_test

客戶端請求命中的IP黑名單、自定義規(guī)則（訪問控制）規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

antiscan_action

客戶端請求命中的掃描防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值只有block，表示攔截。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

antiscan_rule_id

客戶端請求命中的掃描防護(hù)規(guī)則的ID。

151235

antiscan_rule_type

客戶端請求命中的掃描防護(hù)規(guī)則的類型。取值：

• highfreq：表示高頻掃描封禁規(guī)則。

• dirscan：表示目錄遍歷封禁規(guī)則。

• scantools：表示掃描工具封禁規(guī)則。

highfreq

antiscan_test

客戶端請求命中的掃描防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

body_bytes_sent

服務(wù)端返回給客戶端的響應(yīng)體的字節(jié)數(shù)（不含響應(yīng)頭）。單位：Byte。

1111

cc_action

客戶端請求命中的自定義規(guī)則（頻率控制）規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值：

• block：表示攔截。

• captcha：表示普通滑塊驗(yàn)證。

• js：表示JavaScript校驗(yàn)。

• captcha_pass：表示客戶端通過了普通滑塊驗(yàn)證，WAF放行客戶端請求。

• js_pass：表示客戶端通過了JS校驗(yàn)，WAF放行客戶端請求。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

cc_rule_id

客戶端請求命中的自定義規(guī)則（頻率控制）規(guī)則的ID。

151234

cc_rule_type

客戶端請求命中的規(guī)則的類型。取值：

• custom：表示自定義規(guī)則（頻率控制）規(guī)則。

• system：表示CC安全防護(hù)規(guī)則。

custom

cc_test

客戶端請求命中的自定義規(guī)則（頻率控制）規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

request_body

訪問請求體，最大支持存儲(chǔ)8 KB。

test123curl -ki https://automated-acltest02.***.top/ --resolve automated-acltest02.***.top:443:39.107.XX.XX

request_headers_all

記錄請求中的所有頭部。

{

"Accept": "*/*",

"Accept-Encoding": "gz**, de**te, **r",

"Accept-Language": "zh-Hans-CN;q=1",

"Connection": "keep-***ve",

"Content-Length": "1**6",

"Content-Type": "application/json",

"Cookie": "cookie_key=***; acw_tc=0abc****opqrstuvwxyz0***7890;",

"Host": "1.****.****.1",

...

}

request_header

自定義請求頭部，選中該字段后，需填寫請求頭名稱。最多支持添加5個(gè)自定義請求頭。多個(gè)請求頭名稱以英文逗號(hào)（,）隔開。

{"ttt":"abcd"}

server_port

被請求的目的端口。

443

waf_action

客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值僅有block，表示攔截。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

waf_rule_id

客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則的ID。

113406

waf_rule_type

客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則的類型。取值：

• xss：表示跨站腳本防護(hù)規(guī)則。

• code_exec：表示代碼執(zhí)行防護(hù)規(guī)則。

• webshell：表示webShell防護(hù)規(guī)則。

• sqli：表示SQL注入防護(hù)規(guī)則。

• lfilei：表示本地文件包含防護(hù)規(guī)則。

• rfilei：表示遠(yuǎn)程文件包含防護(hù)規(guī)則。

• other：表示其他防護(hù)規(guī)則。

xss

waf_test

客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

major_protection_action

客戶端請求命中的重保場景防護(hù)模板對應(yīng)的防護(hù)動(dòng)作。關(guān)于WAF防護(hù)動(dòng)作的具體說明，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

major_protection_rule_id

客戶端請求命中的重保場景防護(hù)模板對應(yīng)的規(guī)則ID。

2221

major_protection_rule_type

客戶端請求命中的重保場景防護(hù)模板對應(yīng)的規(guī)則類型。取值：

• waf_blocks：表示重保防護(hù)規(guī)則組。

• threat_intelligence：表示重保威脅情報(bào)。

• blacklist：表示重保IP黑名單。

• shiro：表示Shiro反序列化漏洞防護(hù)。

waf_blocks

major_protection_test

客戶端請求命中的重保場景防護(hù)對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

true

response_set_cookie

客戶端響應(yīng)下發(fā)的Cookie。

acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800

response_header

客戶端的全部響應(yīng)頭部。

{"transfer-encoding":"chunked","set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"}

response_info

客戶端的響應(yīng)體，最大支持存儲(chǔ)16KB。當(dāng)content-encoding頭部為gzip時(shí)，響應(yīng)體記錄為base64編碼。

$_POST接收：<br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA']接收：<br/> <hr/> php://input接收：***

request_path

被請求的相對路徑，具體指被請求URL中域名后面且問號(hào)（?）前面的部分（不包含查詢字符串）。

/news/search.php

dlp_action

客戶端請求命中的信息泄露防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值：

• monitor：表示觀察。

• block：表示攔截。

• filter：表示打碼。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

dlp_rule_id

客戶端請求命中的信息泄露防護(hù)規(guī)則的ID。

20031483

dlp_test

客戶端請求命中的信息泄露防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

true

querystring

客戶端請求中的查詢字符串，具體指被請求URL中問號(hào)（?）后面的部分。

title=tm_content%3Darticle&pid=123

scene_action

客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值：

• js：表示JS校驗(yàn)。

• sigchl：表示動(dòng)態(tài)令牌挑戰(zhàn)。

• block：表示攔截。

• monitor：表示觀察。

• bypass：表示放行。

• captcha：表示滑塊校驗(yàn)。

• captcha_strict：表示嚴(yán)格滑塊校驗(yàn)。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

js

scene_id

客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的場景ID。

a82d992b_bc8c_47f0_87ce_******

scene_rule_id

客戶端請求命中的Bot管理場景化配置規(guī)則的ID和基礎(chǔ)防護(hù)配置規(guī)則ID。

js-a82d992b_bc8c_47f0_87ce_******

scene_rule_type

客戶端請求命中的Bot管理場景化配置規(guī)則的類型。取值：

• bot_aialgo：表示AI智能防護(hù)規(guī)則。

• cc：表示自定義限速規(guī)則。

• intelligence：表示威脅情報(bào)。

• js：表示JS校驗(yàn)。

• sigchl：表示動(dòng)態(tài)令牌規(guī)則。

• sdk：表示SDK簽名和設(shè)備采集規(guī)則、二次打包檢測規(guī)則。

bot_aialgo

scene_test

客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

true

remote_addr

與WAF建立連接的IP。

如果WAF與客戶端直接連接，該字段等同于客戶端IP；如果WAF前面還有其他七層代理（例如CDN），該字段表示W(wǎng)AF的上一級代理的IP。

198.51.XX.XX

remote_port

與WAF建立連接的端口。

如果WAF與客戶端直接連接，該字段等同于客戶端端口；如果WAF前面還有其他七層代理（例如CDN），該字段表示W(wǎng)AF的上一級代理的端口。

80

waf_hit

命中基礎(chǔ)防護(hù)攻擊內(nèi)容。

{"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}}

compliance_hit

命中協(xié)議違背攻擊內(nèi)容。

**********7df271da040a

compliance_action

客戶端請求命中的協(xié)議合規(guī)對應(yīng)的防護(hù)動(dòng)作。取值僅有block，表示攔截。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

compliance_rule_id

客戶端請求命中的協(xié)議合規(guī)的ID。

300033

compliance_rule_type

客戶端請求命中協(xié)議合規(guī)的類型。取值僅有protocol_violation

protocol_violation

compliance_test

客戶端請求命中的協(xié)議合規(guī)對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中協(xié)議合規(guī)的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

sema_hit

命中語義分析攻擊內(nèi)容。

{"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}}

sema_action

客戶端請求命中的語義分析對應(yīng)的防護(hù)動(dòng)作。取值僅有block，表示攔截。

關(guān)于WAF防護(hù)動(dòng)作的具體含義，請參見WAF防護(hù)動(dòng)作（*_action）含義說明。

block

sema_rule_id

客戶端請求命中的語義分析ID。

810015

sema_rule_type

客戶端請求命中語義分析的類型。取值僅有sqli，表示SQL注入防護(hù)規(guī)則。

sqli

sema_test

客戶端請求命中的語義分析對應(yīng)的防護(hù)模式。取值：

• true：表示觀察模式，即僅記錄日志，不觸發(fā)攔截等防護(hù)動(dòng)作。

• false：表示防護(hù)模式，WAF對命中防護(hù)規(guī)則的請求執(zhí)行攔截等防護(hù)動(dòng)作。

false

wxbb_info_tbl

命中BOT管理中APP防護(hù)規(guī)則的設(shè)備信息。

{

"abnormal_imei": "0",

"abnormal_time": "1",

*****

"appversion": "9.4.3",

"brand": "Android",

*****

}

防護(hù)動(dòng)作

含義

block

表示攔截，即WAF攔截客戶端請求并向客戶端返回405頁面。

captcha_strict

表示嚴(yán)格滑塊驗(yàn)證，即WAF向客戶端返回滑動(dòng)驗(yàn)證頁面。如果客戶端成功執(zhí)行滑動(dòng)驗(yàn)證，則WAF放行本次請求，否則攔截請求。嚴(yán)格滑塊驗(yàn)證模式下，客戶端的每次請求都需要驗(yàn)證。

captcha

表示普通滑塊驗(yàn)證，即WAF向客戶端返回滑動(dòng)驗(yàn)證頁面。如果客戶端成功執(zhí)行滑動(dòng)驗(yàn)證，則WAF在一段時(shí)間（默認(rèn)30分鐘）內(nèi)放行該客戶端的所有請求（不需要重復(fù)驗(yàn)證），否則攔截請求。

js

表示JavaScript校驗(yàn)，即WAF向客戶端返回一段正常瀏覽器可以自動(dòng)執(zhí)行的JavaScript代碼。如果客戶端正常執(zhí)行了JavaScript代碼，則WAF在一段時(shí)間（默認(rèn)30分鐘）內(nèi)放行該客戶端的所有請求（不需要重復(fù)驗(yàn)證），否則攔截請求。

js_pass

表示客戶端通過了JavaScript校驗(yàn)，WAF放行客戶端請求。

sigchl

表示動(dòng)態(tài)令牌驗(yàn)證，即Web端請求加簽?？蛻舳税l(fā)送請求時(shí)經(jīng)過了WAF下發(fā)的webSDK針對請求進(jìn)行加簽保護(hù)，并將簽名隨請求上報(bào)。如果加簽驗(yàn)簽正常，則該請求直接回源，否則會(huì)返回一段動(dòng)態(tài)令牌執(zhí)行代碼要求客戶端重新加簽請求。