日志字段說明
本文介紹了Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)日志中包含的專有字段的說明。
字段檢索表
下表描述了WAF日志支持的專有字段。您可以通過字段名稱檢索需要了解的字段。
首字母 | 字段 |
a |
|
b |
|
c |
|
d |
|
f | 對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作的相關(guān)字段:final_action | final_plugin | final_rule_id | final_rule_type |
h |
|
m |
|
q | 查詢字符串字段:querystring |
r |
|
s |
|
t | 客戶端請求發(fā)起時(shí)間字段:time |
u |
|
w |
|
必選字段
必選字段表示W(wǎng)AF日志中一定包含的字段。
名稱 | 說明 | 取值示例 |
bypass_matched_ids | 客戶端請求命中的WAF放行類規(guī)則的ID,具體包括白名單規(guī)則、設(shè)置了放行動(dòng)作的自定義防護(hù)策略規(guī)則。 如果請求同時(shí)命中了多條放行類規(guī)則,該字段會(huì)記錄所有命中的規(guī)則ID。多個(gè)規(guī)則ID間使用半角逗號(hào)(,)分隔。 | 283531 |
content_type | 被請求的內(nèi)容類型。 | application/x-www-form-urlencoded |
dst_port | 被請求的目的端口。 重要 云產(chǎn)品(FC)接入WAF的防護(hù)對象,暫不支持該字段。 | 443 |
final_action | WAF對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作。取值:
關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 如果一個(gè)請求未觸發(fā)任何防護(hù)模塊(包括命中了放行類規(guī)則、客戶端完成滑塊或JS校驗(yàn)后觸發(fā)放行的情況),則不會(huì)記錄該字段。 如果一個(gè)請求同時(shí)觸發(fā)了多個(gè)防護(hù)模塊,則僅記錄最終執(zhí)行的防護(hù)動(dòng)作。防護(hù)動(dòng)作的優(yōu)先級由高到低依次為:攔截(block) > 嚴(yán)格滑塊驗(yàn)證(captcha_strict) > 普通滑塊驗(yàn)證(captcha) > JS校驗(yàn)(js)。 | block |
final_plugin | WAF對客戶端請求最終執(zhí)行的防護(hù)動(dòng)作(final_action)對應(yīng)的防護(hù)模塊。取值:
如果一個(gè)請求未觸發(fā)任何防護(hù)模塊(包括命中了放行類規(guī)則、客戶端完成滑塊或JS校驗(yàn)后觸發(fā)放行的情況),則不會(huì)記錄該字段。 如果一個(gè)請求同時(shí)觸發(fā)了多個(gè)防護(hù)模塊,則僅記錄最終執(zhí)行的防護(hù)動(dòng)作(final_action)對應(yīng)的防護(hù)模塊。 | waf |
final_rule_id | WAF對客戶端請求最終應(yīng)用的防護(hù)規(guī)則的ID,即final_action對應(yīng)的防護(hù)規(guī)則的ID。 | 115341 |
final_rule_type | WAF對客戶端請求最終應(yīng)用的防護(hù)規(guī)則(final_rule_id)的子類型。 例如,在 | xss/webShell |
host | 客戶端請求頭部的Host字段,表示被訪問的域名(基于您的業(yè)務(wù)設(shè)置,也可能是IP地址)。 | api.example.com |
http_cookie | 客戶端請求頭部的Cookie字段,表示訪問來源客戶端的Cookie信息。 | k1=v1;k2=v2 |
http_referer | 客戶端請求頭部的Referer字段,表示請求的來源URL信息。 如果請求無來源URL信息,則該字段顯示 | http://example.com |
http_user_agent | 客戶端請求頭部的User-Agent字段,包含請求來源的客戶端瀏覽器標(biāo)識(shí)、操作系統(tǒng)標(biāo)識(shí)等信息。 | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for | 客戶端請求頭部的X-Forwarded-For(XFF)字段,用于識(shí)別通過HTTP代理或負(fù)載均衡方式連接到Web服務(wù)器的客戶端最原始的IP地址。 | 47.100.XX.XX |
https | 是否是HTTPS請求。
| on |
matched_host | 客戶端請求匹配到的WAF防護(hù)對象(云產(chǎn)品實(shí)例、域名)。 說明 由于WAF防護(hù)對象支持配置泛域名,所以客戶端請求可能匹配到某個(gè)泛域名對象。例如,假設(shè)已接入WAF防護(hù)的域名對象是*.aliyundoc.com,當(dāng)被請求的URL是www.aliyundoc.com時(shí),可能匹配到*.aliyundoc.com。 | *.aliyundoc.com |
request_uri | 請求的路徑+請求參數(shù) | /news/search.php?id=1 |
real_client_ip | WAF對客戶端請求進(jìn)行分析后,判定發(fā)起該請求的真實(shí)客戶端IP,便于您在業(yè)務(wù)中直接使用。 WAF無法判定真實(shí)客戶端IP時(shí)(例如,由于用戶通過代理服務(wù)器訪問、請求頭中IP字段有誤等),該字段顯示 | 192.0.XX.XX |
region | WAF實(shí)例的地域ID。取值:
| cn |
src_port | 與WAF建立連接的端口。 如果WAF與客戶端直接連接,該字段等同于客戶端端口;如果WAF前面還有其他七層代理(例如CDN),該字段表示W(wǎng)AF的上一級代理的端口。 | 80 |
src_ip | 與WAF建立連接的IP。 如果WAF與客戶端直接連接,該字段等同于客戶端IP;如果WAF前面還有其他七層代理(例如CDN),該字段表示W(wǎng)AF的上一級代理的IP。 | 198.51.XX.XX |
start_time | 客戶端請求發(fā)起時(shí)間字段,單位:秒。 | 1696534058 |
request_length | 客戶端請求的字節(jié)數(shù),包含請求行、請求頭和請求體。單位:Byte。 | 111111 |
request_method | 客戶端請求的方法。 | GET |
request_time_msec | WAF處理客戶端請求所用的時(shí)間。單位:毫秒。 | 44 |
request_traceid | WAF為客戶端請求生成的唯一標(biāo)識(shí)。 | 7837b11715410386943437009ea1f0 |
request_traceid_origin | 請求原始ID。 | 7ce319151*****18890e |
remote_region_id | IP地址歸屬的省ID。 | 410000 |
server_protocol | 源站服務(wù)器響應(yīng)WAF回源請求的協(xié)議及版本號(hào)。 重要 云產(chǎn)品(FC)接入WAF的防護(hù)對象,暫不支持該字段。 | HTTP/1.1 |
ssl_cipher | 客戶端請求使用的加密套件。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | 客戶端請求使用的SSL/TLS協(xié)議和版本。 | TLSv1.2 |
status | WAF響應(yīng)客戶端請求的HTTP狀態(tài)碼。例如,200(表示請求成功)。 | 200 |
time | 客戶端請求的發(fā)起時(shí)間。按照ISO 8601標(biāo)準(zhǔn)表示,并需要使用UTC時(shí)間,格式為 | 2018-05-02T16:03:59+08:00 |
upstream_addr | 源站服務(wù)器的IP地址和端口。格式為 重要 云產(chǎn)品(FC)接入WAF的防護(hù)對象,暫不支持該字段。 | 198.51.XX.XX:443 |
upstream_response_time | 源站服務(wù)器響應(yīng)WAF回源請求的處理時(shí)間。單位:秒。 | 0.044 |
upstream_status | 源站服務(wù)器響應(yīng)WAF回源請求的HTTP狀態(tài)碼。例如,200(表示請求成功)。 | 200 |
user_id | 當(dāng)前WAF實(shí)例所屬的阿里云賬號(hào)ID。 | 17045741******** |
可選字段
可選字段表示您可以手動(dòng)設(shè)置,是否要在WAF日志中包含的字段。WAF日志中只記錄您已啟用的可選字段。
啟用可選字段將使WAF日志占用更多的存儲(chǔ)容量。如果您的日志存儲(chǔ)容量充足,建議您啟用更多的可選字段,便于進(jìn)行更全面的日志分析。關(guān)于配置可選字段的具體操作,請參見日志字段說明。
名稱 | 說明 | 取值示例 |
acl_action | 客戶端請求命中的IP黑名單、自定義規(guī)則(訪問控制)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值:
關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
acl_rule_id | 客戶端請求命中的IP黑名單、自定義規(guī)則(訪問控制)規(guī)則的ID。 | 151235 |
acl_rule_type | 客戶端請求命中的IP黑名單、自定義規(guī)則(訪問控制)規(guī)則的類型。取值:
| custom |
acl_test | 客戶端請求命中的IP黑名單、自定義規(guī)則(訪問控制)規(guī)則對應(yīng)的防護(hù)模式。取值:
| false |
antiscan_action | 客戶端請求命中的掃描防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值只有block,表示攔截。 關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
antiscan_rule_id | 客戶端請求命中的掃描防護(hù)規(guī)則的ID。 | 151235 |
antiscan_rule_type | 客戶端請求命中的掃描防護(hù)規(guī)則的類型。取值:
| highfreq |
antiscan_test | 客戶端請求命中的掃描防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值:
| false |
body_bytes_sent | 服務(wù)端返回給客戶端的響應(yīng)體的字節(jié)數(shù)(不含響應(yīng)頭)。單位:Byte。 重要 云產(chǎn)品(FC)接入WAF的防護(hù)對象,暫不支持該字段。 | 1111 |
cc_action | 客戶端請求命中的自定義規(guī)則(頻率控制)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值:
關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
cc_rule_id | 客戶端請求命中的自定義規(guī)則(頻率控制)規(guī)則的ID。 | 151234 |
cc_rule_type | 客戶端請求命中的規(guī)則的類型。取值:
| custom |
cc_test | 客戶端請求命中的自定義規(guī)則(頻率控制)規(guī)則對應(yīng)的防護(hù)模式。取值:
| false |
request_body | 訪問請求體,最大支持存儲(chǔ)8 KB。 | test123curl -ki https://automated-acltest02.***.top/ --resolve automated-acltest02.***.top:443:39.107.XX.XX |
request_headers_all | 記錄請求中的所有頭部。 | { "Accept": "*/*", "Accept-Encoding": "gz**, de**te, **r", "Accept-Language": "zh-Hans-CN;q=1", "Connection": "keep-***ve", "Content-Length": "1**6", "Content-Type": "application/json", "Cookie": "cookie_key=***; acw_tc=0abc****opqrstuvwxyz0***7890;", "Host": "1.****.****.1", ... } |
request_header | 自定義請求頭部,選中該字段后,需填寫請求頭名稱。最多支持添加5個(gè)自定義請求頭。多個(gè)請求頭名稱以英文逗號(hào)(,)隔開。 重要 云產(chǎn)品(MSE或FC)接入WAF的防護(hù)對象,暫不支持該字段。 | {"ttt":"abcd"} |
server_port | 被請求的目的端口。 重要 默認(rèn)選中,云產(chǎn)品(FC)接入WAF的防護(hù)對象,暫不支持該字段。 | 443 |
waf_action | 客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值僅有block,表示攔截。 關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
waf_rule_id | 客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則的ID。 說明 該規(guī)則ID對應(yīng)您在安全報(bào)表頁面的基礎(chǔ)防護(hù)規(guī)則頁簽下,通過規(guī)則命中記錄列表,查看到的規(guī)則ID。更多信息,請參見基礎(chǔ)防護(hù)規(guī)則。 | 113406 |
waf_rule_type | 客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則的類型。取值:
| xss |
waf_test | 客戶端請求命中的基礎(chǔ)防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值:
| false |
major_protection_action | 客戶端請求命中的重保場景防護(hù)模板對應(yīng)的防護(hù)動(dòng)作。關(guān)于WAF防護(hù)動(dòng)作的具體說明,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
major_protection_rule_id | 客戶端請求命中的重保場景防護(hù)模板對應(yīng)的規(guī)則ID。 | 2221 |
major_protection_rule_type | 客戶端請求命中的重保場景防護(hù)模板對應(yīng)的規(guī)則類型。取值:
| waf_blocks |
major_protection_test | 客戶端請求命中的重保場景防護(hù)對應(yīng)的防護(hù)模式。取值:
| true |
response_set_cookie | 客戶端響應(yīng)下發(fā)的Cookie。 重要 云產(chǎn)品(MSE或FC)接入WAF的防護(hù)對象,暫不支持該字段。 | acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800 |
response_header | 客戶端的全部響應(yīng)頭部。 重要 云產(chǎn)品(MSE或FC)接入WAF的防護(hù)對象,暫不支持該字段。 | {"transfer-encoding":"chunked","set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"} |
response_info | 客戶端的響應(yīng)體,最大支持存儲(chǔ)16KB。當(dāng)content-encoding頭部為gzip時(shí),響應(yīng)體記錄為base64編碼。 重要 云產(chǎn)品(ALB、MSE或FC)接入WAF的防護(hù)對象,暫不支持該字段。 | $_POST接收:<br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA']接收:<br/> <hr/> php://input接收:*** |
request_path | 被請求的相對路徑,具體指被請求URL中域名后面且問號(hào)(?)前面的部分(不包含查詢字符串)。 說明 默認(rèn)選中。 | /news/search.php |
dlp_action | 客戶端請求命中的信息泄露防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值:
關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
dlp_rule_id | 客戶端請求命中的信息泄露防護(hù)規(guī)則的ID。 | 20031483 |
dlp_test | 客戶端請求命中的信息泄露防護(hù)規(guī)則對應(yīng)的防護(hù)模式。取值:
| true |
querystring | 客戶端請求中的查詢字符串,具體指被請求URL中問號(hào)(?)后面的部分。 說明 默認(rèn)選中。 | title=tm_content%3Darticle&pid=123 |
scene_action | 客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的防護(hù)動(dòng)作。取值:
關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | js |
scene_id | 客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的場景ID。 | a82d992b_bc8c_47f0_87ce_****** |
scene_rule_id | 客戶端請求命中的Bot管理場景化配置規(guī)則的ID和基礎(chǔ)防護(hù)配置規(guī)則ID。 | js-a82d992b_bc8c_47f0_87ce_****** |
scene_rule_type | 客戶端請求命中的Bot管理場景化配置規(guī)則的類型。取值:
| bot_aialgo |
scene_test | 客戶端請求命中的Bot管理場景化配置規(guī)則對應(yīng)的防護(hù)模式。取值:
| true |
remote_addr | 與WAF建立連接的IP。 如果WAF與客戶端直接連接,該字段等同于客戶端IP;如果WAF前面還有其他七層代理(例如CDN),該字段表示W(wǎng)AF的上一級代理的IP。 說明 默認(rèn)選中。 | 198.51.XX.XX |
remote_port | 與WAF建立連接的端口。 如果WAF與客戶端直接連接,該字段等同于客戶端端口;如果WAF前面還有其他七層代理(例如CDN),該字段表示W(wǎng)AF的上一級代理的端口。 說明 默認(rèn)選中。 | 80 |
waf_hit | 命中基礎(chǔ)防護(hù)攻擊內(nèi)容。 | {"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}} |
compliance_hit | 命中協(xié)議違背攻擊內(nèi)容。 | **********7df271da040a |
compliance_action | 客戶端請求命中的協(xié)議合規(guī)對應(yīng)的防護(hù)動(dòng)作。取值僅有block,表示攔截。 關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
compliance_rule_id | 客戶端請求命中的協(xié)議合規(guī)的ID。 | 300033 |
compliance_rule_type | 客戶端請求命中協(xié)議合規(guī)的類型。取值僅有protocol_violation | protocol_violation |
compliance_test | 客戶端請求命中的協(xié)議合規(guī)對應(yīng)的防護(hù)模式。取值:
| false |
sema_hit | 命中語義分析攻擊內(nèi)容。 | {"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}} |
sema_action | 客戶端請求命中的語義分析對應(yīng)的防護(hù)動(dòng)作。取值僅有block,表示攔截。 關(guān)于WAF防護(hù)動(dòng)作的具體含義,請參見WAF防護(hù)動(dòng)作(*_action)含義說明。 | block |
sema_rule_id | 客戶端請求命中的語義分析ID。 | 810015 |
sema_rule_type | 客戶端請求命中語義分析的類型。取值僅有sqli,表示SQL注入防護(hù)規(guī)則。 | sqli |
sema_test | 客戶端請求命中的語義分析對應(yīng)的防護(hù)模式。取值:
| false |
wxbb_info_tbl | 命中BOT管理中APP防護(hù)規(guī)則的設(shè)備信息。 | { "abnormal_imei": "0", "abnormal_time": "1", ***** "appversion": "9.4.3", "brand": "Android", ***** } |
WAF防護(hù)動(dòng)作(*_action)含義說明
*_action表示不同防護(hù)規(guī)則的防護(hù)動(dòng)作,例如,final_action表示W(wǎng)AF最終執(zhí)行的防護(hù)動(dòng)作、waf_action表示基礎(chǔ)防護(hù)規(guī)則對應(yīng)的防護(hù)動(dòng)作。不同防護(hù)規(guī)則支持的具體防護(hù)動(dòng)作不同,以對應(yīng)參數(shù)描述內(nèi)容為準(zhǔn)。
下表介紹了WAF支持的所有防護(hù)動(dòng)作的含義。
防護(hù)動(dòng)作 | 含義 |
block | 表示攔截,即WAF攔截客戶端請求并向客戶端返回405頁面。 |
captcha_strict | 表示嚴(yán)格滑塊驗(yàn)證,即WAF向客戶端返回滑動(dòng)驗(yàn)證頁面。如果客戶端成功執(zhí)行滑動(dòng)驗(yàn)證,則WAF放行本次請求,否則攔截請求。嚴(yán)格滑塊驗(yàn)證模式下,客戶端的每次請求都需要驗(yàn)證。 |
captcha | 表示普通滑塊驗(yàn)證,即WAF向客戶端返回滑動(dòng)驗(yàn)證頁面。如果客戶端成功執(zhí)行滑動(dòng)驗(yàn)證,則WAF在一段時(shí)間(默認(rèn)30分鐘)內(nèi)放行該客戶端的所有請求(不需要重復(fù)驗(yàn)證),否則攔截請求。 |
js | 表示JavaScript校驗(yàn),即WAF向客戶端返回一段正常瀏覽器可以自動(dòng)執(zhí)行的JavaScript代碼。如果客戶端正常執(zhí)行了JavaScript代碼,則WAF在一段時(shí)間(默認(rèn)30分鐘)內(nèi)放行該客戶端的所有請求(不需要重復(fù)驗(yàn)證),否則攔截請求。 |
js_pass | 表示客戶端通過了JavaScript校驗(yàn),WAF放行客戶端請求。 |
sigchl | 表示動(dòng)態(tài)令牌驗(yàn)證,即Web端請求加簽??蛻舳税l(fā)送請求時(shí)經(jīng)過了WAF下發(fā)的webSDK針對請求進(jìn)行加簽保護(hù),并將簽名隨請求上報(bào)。如果加簽驗(yàn)簽正常,則該請求直接回源,否則會(huì)返回一段動(dòng)態(tài)令牌執(zhí)行代碼要求客戶端重新加簽請求。 |