You need to enable JavaScript to run this app.
导航
日志字段说明
最近更新时间:2024.10.10 16:06:19首次发布时间:2023.06.09 10:12:52

进行日志检索分析时,涉及的日志字段分为必选字段和可选字段。必选字段即为 WAF 日志中默认会采集的字段,而可选字段为 WAF 日志中可配置是否采集的字段,以下为字段说明和举例。

必选字段

说明

在必选日志字段中,HostXForwardedForRefererUserAgent属于常见 header 字段。您在接入网站防护时,WAF 默认会采集这些常见 header 日志字段。

  • 如果您关闭记录全量 Header,则日志仅记录这些常见 header 字段。
  • 如果您开启记录全量 Header,WAF 会记录常见 header 字段和自定义 header 字段。除Cookie以外,其他自定义 header 字段统一记录在Headers中。

字段

说明

示例值

Host

客户端请求头部的 Host 字段,表示被访问的域名。

www.test.com

MatchedHost

匹配的 WAF 接入域名。标识命中的 WAF 配置域名。

例如配置了泛域名*.test.com时,访问域名是 a.test.com,此字段记录*.test.com

ClientIP

客户端 IP。

1.XX.XX.1

ClientPort

客户端发起访问的端口。

80

Path

被请求的相对路径,指被请求 URL 中域名后面且问号(?)前面的部分,不包含查询字符串。

/news/search.php

Method

客户端请求的请求方法。

GET

TraceID

WAF 为客户端请求生成的唯一标识。

7837b11715********************

Scheme

请求协议,包括 HTTP 和 HTTPS。

HTTP

XForwardedFor

客户端请求头部的 X-Forwarded_For(XFF) 字段,用于识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。

1.XX.XX.1

ContentType

被请求的内容类型。

application/x-www-form-urlencoded

Referer

客户端请求头部的 Referer 字段,表示请求的来源 URL 信息。如果请求无来源 URL 信息,则该字段显示为空。

http://example.com

UserAgent

客户端请求头部的 User-Agent 字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。

Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)

QueryArgs

客户端请求中的查询字符串,具体指被请求 URL 中问号(?)后面的部分。

title=tm_content%3Darticle&pid=123

Status

WAF 响应客户端请求的 HTTP 状态码,包括:

  • 200:请求成功
  • 4XX:请求失败

200

AttackType

攻击类型,包括:

  • black:黑名单
  • geo_black:地理位置封禁
  • httpflood:CC 攻击
  • web_vulnerability:Web漏洞攻击
  • bot :bot 规则
  • bot_frequency:bot 频率限制
  • bot_repeat:bot 统计防护
  • bot_dytoken:动态令牌
  • bot_sequence:行为地图
  • route_abnormal:API 路由异常
  • param_abnormal:API 参数异常
  • api_discarded:API 废弃资产
  • api_sensitive:API 敏感信息
  • sensitive_info:敏感信息泄露

black

Plugin

防护策略类型。

  • acl:访问管控
  • dlp:防敏感信息泄露
  • api_policy:API防护
  • bot_policy:Bot管理
  • cc_policy:cc防护
  • web_policy:漏洞防护

acl

HitInfo

命中防护策略类型后的二次规则类型。

ua_bot_web_scraper

PolicyID

防护规则 ID。

F000000000001

EventLevel

事件等级,包括:

  • 0:低危
  • 1:中危
  • 2:高危

1

ActionType

处置动作,包括:

  • Pass:放行
  • Permit:例外
  • Observe:观察
  • Block:拦截
  • HumanVerify:人机验证
  • HumanVerifyBlock:人机验证-拦截
  • JS:JS 挑战
  • JSBlock:JS 挑战-拦截
  • Pow:工作量证明
  • PowBlock:工作量证明-拦截
  • Drop:丢弃
  • AnswerOpt:答案优化

Pass

MatchedInfo

规则匹配命中的字段值,例如敏感信息(身份证号或手机号等),漏洞规则的正则表达式。

[{"VarName":"RequestHeaders","Key":"X-Forwarded-For","Val":"sVyiy8bP' OR 252=(SELECT 252 FROM PG_SLEEP(15))--"}]

UpStreamAddres

源站服务器的 IP 地址和端口。格式为IP:Port。多个记录间使用半角逗号(,)分隔。

192.168.0.0:55556

UpStreamResponseTime

源站服务器响应 WAF 回源请求的时间。

0.002

UpStreamStatus

源站服务器响应 WAF 回源请求的 HTTP 状态码,包括您自定义设置的状态码。

200

Time

客户端请求的发起时间。按照 ISO 8601 标准表示,并需要使用 UTC 时间,格式为yyyy-MM-ddTHH:mm:ss+08:00

2024-09-25T14:49:50+08:00

ServerProtocol

源站服务器响应 WAF 回源请求的协议及版本号。

HTTP/1.1

APIID

API 资产 ID。

I957277495165

APIName

API 资产名称。

apitest

APIStatus

API 的状态,包括:

  • pending:待发现
  • discovering:发现中
  • discovered:已发现
  • managed:已纳管
  • ignored:已忽略
  • discarded:已废弃

managed

RequestBodyType

请求 Body 类型,例如:application/x-www-form-urlencoded、application/json 等。

application/json

ResponseBodyType

响应 Body 类型,例如:application/json、application/xml 等。

application/json

SensitiveTags

敏感信息标签。

测试

HitField

命中规则的字符串,例如:COOKIE:uidCLIENTIP

CLIENTIP

Verification Status

执行动作(包括 JS 挑战、工作量证明、人机验证)验证通过情况。

  • trigger:触发验证
  • timeout:超时后触发
  • ok:验证成功
  • pass:验证放行
  • failed:验证失败
  • block:失败后拦截
  • skip:失败后观察

pass

可选字段

字段

说明

示例值

Cookie

客户端请求头部的 Cookie 字段,表示访问来源客户端的 Cookie 信息。

k1=v1; k2=v2

RequestBody

请求 payload,当前最多支持 4 KB。

2 KB

RuleName

命中规则对应的名称。

说明

该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。

rule1

RuleDescription

命中规则对应的描述。

说明

该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。

用于限定对应 IP 的访问。

Headers

用户自定义的,除 Cookie 以外的其他 Header 字段。不包括 WAF 默认记录的常见 Header 字段:HostXForwardedForRefererUserAgent

Content-Length