进行日志检索分析时,涉及的日志字段分为必选字段和可选字段。必选字段即为 WAF 日志中默认会采集的字段,而可选字段为 WAF 日志中可配置是否采集的字段,以下为字段说明和举例。
说明
在必选日志字段中,Host
、XForwardedFor
、Referer
和UserAgent
属于常见 header 字段。您在接入网站防护时,WAF 默认会采集这些常见 header 日志字段。
记录全量 Header
,则日志仅记录这些常见 header 字段。记录全量 Header
,WAF 会记录常见 header 字段和自定义 header 字段。除Cookie
以外,其他自定义 header 字段统一记录在Headers
中。字段 | 说明 | 示例值 |
---|---|---|
Host | 客户端请求头部的 Host 字段,表示被访问的域名。 |
|
MatchedHost | 匹配的 WAF 接入域名。标识命中的 WAF 配置域名。 | 例如配置了泛域名 |
ClientIP | 客户端 IP。 |
|
ClientPort | 客户端发起访问的端口。 |
|
Path | 被请求的相对路径,指被请求 URL 中域名后面且问号(?)前面的部分,不包含查询字符串。 |
|
Method | 客户端请求的请求方法。 |
|
TraceID | WAF 为客户端请求生成的唯一标识。 |
|
Scheme | 请求协议,包括 HTTP 和 HTTPS。 |
|
XForwardedFor | 客户端请求头部的 X-Forwarded_For(XFF) 字段,用于识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。 |
|
ContentType | 被请求的内容类型。 |
|
Referer | 客户端请求头部的 Referer 字段,表示请求的来源 URL 信息。如果请求无来源 URL 信息,则该字段显示为空。 |
|
UserAgent | 客户端请求头部的 User-Agent 字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
|
QueryArgs | 客户端请求中的查询字符串,具体指被请求 URL 中问号(?)后面的部分。 |
|
Status | WAF 响应客户端请求的 HTTP 状态码,包括:
|
|
AttackType | 攻击类型,包括:
|
|
Plugin | 防护策略类型。
|
|
HitInfo | 命中防护策略类型后的二次规则类型。 |
|
PolicyID | 防护规则 ID。 |
|
EventLevel | 事件等级,包括:
|
|
ActionType | 处置动作,包括:
|
|
MatchedInfo | 规则匹配命中的字段值,例如敏感信息(身份证号或手机号等),漏洞规则的正则表达式。 |
|
UpStreamAddres | 源站服务器的 IP 地址和端口。格式为 |
|
UpStreamResponseTime | 源站服务器响应 WAF 回源请求的时间。 |
|
UpStreamStatus | 源站服务器响应 WAF 回源请求的 HTTP 状态码,包括您自定义设置的状态码。 |
|
Time | 客户端请求的发起时间。按照 ISO 8601 标准表示,并需要使用 UTC 时间,格式为 |
|
ServerProtocol | 源站服务器响应 WAF 回源请求的协议及版本号。 |
|
APIID | API 资产 ID。 |
|
APIName | API 资产名称。 |
|
APIStatus | API 的状态,包括:
|
|
RequestBodyType | 请求 Body 类型,例如:application/x-www-form-urlencoded、application/json 等。 |
|
ResponseBodyType | 响应 Body 类型,例如:application/json、application/xml 等。 |
|
SensitiveTags | 敏感信息标签。 |
|
HitField | 命中规则的字符串,例如: |
|
Verification Status | 执行动作(包括 JS 挑战、工作量证明、人机验证)验证通过情况。
|
|
字段 | 说明 | 示例值 |
---|---|---|
Cookie | 客户端请求头部的 Cookie 字段,表示访问来源客户端的 Cookie 信息。 |
|
RequestBody | 请求 payload,当前最多支持 4 KB。 |
|
RuleName | 命中规则对应的名称。 说明 该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。 |
|
RuleDescription | 命中规则对应的描述。 说明 该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。 |
|
Headers | 用户自定义的,除 Cookie 以外的其他 Header 字段。不包括 WAF 默认记录的常见 Header 字段: |
|