You need to enable JavaScript to run this app.
导航
Web应用防火墙
  • 文档首页
    • /
  • Web应用防火墙

日志字段说明

最近更新时间2024.03.08 11:25:04

首次发布时间2023.06.09 10:12:52

我的收藏

进行日志检索分析时,涉及的日志字段分为必选字段和可选字段。必选字段即为 WAF 日志中必须采集的字段,而可选字段为 WAF 日志中可选采集的字段,以下为字段说明和举例。

必选字段

字段

说明

示例值

Host

客户端请求头部的 Host 字段,表示被访问的域名。

www.test.com

MatchedHost

匹配的 WAF 接入域名。标识命中的 WAF 配置域名。

例如配置了泛域名*.test.com时,访问域名是 a.test.com,此字段记录*.test.com

ClientIP

客户端 IP。

1.XX.XX.1

ClientPort

客户端发起访问的端口。

80

Path

被请求的相对路径,指被请求 URL 中域名后面且问号(?)前面的部分,不包含查询字符串。

/news/search.php

Method

客户端请求的请求方法。

GET

TraceID

WAF为客户端请求生成的唯一标识。

7837b11715********************

Scheme

http/https

http

XForwardedFor

客户端请求头部的 X-Forwarded_For(XFF) 字段,用于识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。

1.XX.XX.1

ContentType

被请求的内容类型。

application/x-www-form-urlencoded

Referer

客户端请求头部的 Referer 字段,表示请求的来源 URL 信息。如果请求无来源 URL 信息,则该字段显示空串。

http://example.com

UserAgent

客户端请求头部的 User-Agent 字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。

Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)

QueryArgs

客户端请求中的查询字符串,具体指被请求 URL 中问号(?)后面的部分。

title=tm_content%3Darticle&pid=123

Status

WAF 响应客户端请求的 HTTP 状态码。例如,200(表示请求成功)。

200

AttackType

攻击类型

枚举值:

  • black:黑名单
  • geo_black:地理位置封禁
  • sensitive_info:敏感信息泄露
  • route_abnormal:API路由异常
  • param_abnormal :API参数异常
  • bot :Bot
  • httpflood:CC攻击
  • web_vulnerability:Web漏洞攻击
  • system:系统规则

Plugin

防护模块

枚举值:

  • acl:访问管控
  • dlp:防敏感信息泄露
  • api_policy:API防护
  • bot_policy:Bot管理
  • cc_policy:cc防护
  • web_policy:漏洞防护

HitInfo

命中规则

ua_bot_web_scraper

PolicyID

防护规则ID

F000000000001

EventLevel

事件等级

枚举值:

  • 0:低危
  • 1:中危
  • 2:高危

ActionType

处置动作

枚举值:

  • Pass:放行
  • Block:拦截
  • Observe:观察
  • HumanVerify:人机验证
  • HumanVerifyBlock:人机验证-拦截

MatchedInfo

规则匹配命中的字段区域。

type SelectedValue struct {
   VarName string  // 匹配的变量名
   Key     string
   Val     string
   ValMatchRange *struct { // 命中规则节选匹配时出现
       Start int
       End int
   }
}

// 示例:命中请求参数的 Key=test, Value=testalert('x'),命中起止以 ValMatchRange 为依据
[
    {
        "VarName": "RequestQueryArgs"
        "Key": "test",
        "Val": "testalert('x')"
        "ValMatchRange": {
            "Start": 4,
            "End": 13
        }
    }
]

可选字段

字段

说明

示例值

Cookie

客户端请求头部的 Cookie 字段,表示访问来源客户端的 Cookie 信息。

k1=v1; k2=v2

RequestBody

请求 payload,当前最多支持 4 KB。

2 KB

RuleName

命中规则对应的名称。

说明

该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。

rule1

RuleDescription

命中规则对应的描述。

说明

该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。

用于限定对应 IP 的访问。