进行日志检索分析时,涉及的日志字段分为必选字段和可选字段。必选字段即为 WAF 日志中必须采集的字段,而可选字段为 WAF 日志中可选采集的字段,以下为字段说明和举例。
字段 | 说明 | 示例值 |
---|---|---|
Host | 客户端请求头部的 Host 字段,表示被访问的域名。 |
|
MatchedHost | 匹配的 WAF 接入域名。标识命中的 WAF 配置域名。 | 例如配置了泛域名 |
ClientIP | 客户端 IP。 |
|
ClientPort | 客户端发起访问的端口。 |
|
Path | 被请求的相对路径,指被请求 URL 中域名后面且问号(?)前面的部分,不包含查询字符串。 |
|
Method | 客户端请求的请求方法。 |
|
TraceID | WAF为客户端请求生成的唯一标识。 |
|
Scheme | http/https |
|
XForwardedFor | 客户端请求头部的 X-Forwarded_For(XFF) 字段,用于识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。 |
|
ContentType | 被请求的内容类型。 |
|
Referer | 客户端请求头部的 Referer 字段,表示请求的来源 URL 信息。如果请求无来源 URL 信息,则该字段显示空串。 |
|
UserAgent | 客户端请求头部的 User-Agent 字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
|
QueryArgs | 客户端请求中的查询字符串,具体指被请求 URL 中问号(?)后面的部分。 |
|
Status | WAF 响应客户端请求的 HTTP 状态码。例如,200(表示请求成功)。 |
|
AttackType | 攻击类型 | 枚举值:
|
Plugin | 防护模块 | 枚举值:
|
HitInfo | 命中规则 |
|
PolicyID | 防护规则ID |
|
EventLevel | 事件等级 | 枚举值:
|
ActionType | 处置动作 | 枚举值:
|
MatchedInfo | 规则匹配命中的字段区域。 |
|
字段 | 说明 | 示例值 |
---|---|---|
Cookie | 客户端请求头部的 Cookie 字段,表示访问来源客户端的 Cookie 信息。 |
|
RequestBody | 请求 payload,当前最多支持 4 KB。 |
|
RuleName | 命中规则对应的名称。 说明 该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。 |
|
RuleDescription | 命中规则对应的描述。 说明 该字段当前仅针对访问控制黑名单规则生效,其他规则条件下,该字段值为空。 |
|