WAF 日志字段包括必选字段和可选字段，必选字段是指 WAF 日志中默认包含的字段，可选字段是指根据您的设置决定是否在日志中包含的字段，以下为对应字段的说明和示例。 ## 必选字段必选字段指 WAF 日志中必定会包含的字段，这些字段无需额外配置，会默认被记录在日志中。 |**字段** |**说明** |示例值 | |---|---|---| |ActionType |处置动作，包括：|`Pass` |\ | || |\ | |* Pass：放行| |\ | |* Permit：例外| |\ | |* Observe：观察| |\ | |* Block：拦截| |\ | |* HumanVerify：人机验证| |\ | |* HumanVerifyBlock：人机验证\-拦截| |\ | |* JS：JS 挑战| |\ | |* JSBlock：JS 挑战\-拦截| |\ | |* Pow：工作量证明| |\ | |* PowBlock：工作量证明\-拦截| |\ | |* Drop：丢弃| |\ | |* AnswerOpt：答案优化 | | |APIID |API 资产 ID。 |`I957277495165` | |APIName |API 资产名称。 |`apitest` | |APIStatus |API 的状态，包括：|`managed` |\ | || |\ | |* pending：待发现| |\ | |* discovering：发现中| |\ | |* discovered：已发现| |\ | |* managed：已纳管| |\ | |* ignored：已忽略| |\ | |* discarded：已废弃 | | |AttackType |攻击类型，包括：|`black` |\ | || |\ | |* black：禁止访问名单| |\ | |* geo_black：地理位置封禁| |\ | |* httpflood：CC 攻击| |\ | |* web_vulnerability：Web 漏洞攻击| |\ | |* bot：bot 自定义规则| |\ | |* bot_frequency：Bot 频率限制| |\ | |* bot_repeat：Bot 统计防护| |\ | |* bot_dytoken：Bot 动态令牌| |\ | |* bot_sequence：Bot 行为地图| |\ | |* route_abnormal：API 路由异常| |\ | |* param_abnormal：API 参数异常| |\ | |* api_discarded：API 废弃资产| |\ | |* api_sensitive：API 敏感信息| |\ | |* sensitive_info：敏感信息泄露 | | |ClientIP |客户端 IP 地址。 |`27.115.**.**` | |ClientPort |客户端发起访问的端口。 |`80` | |ContentType |被请求的内容类型。 |`application/x-www-form-urlencoded` | |EventLevel |攻击事件等级，包括：|`1` |\ | || |\ | |* 0：低危| |\ | |* 1：中危| |\ | |* 2：高危 | | |HitInfo |命中防护策略类型后的二级规则类型。 |`ua_bot_web_scraper` | |HitField |命中规则的统计对象类型及对应键值，格式为`<统计对象>: <键值>`，如：|`CLIENTIP` |\ | || |\ | |* `COOKIE: uid`| |\ | |* `HEADER: User-Agent`| |\ | |* `AGRGS: Param1`| |\ | |* `CLIENTIP` | | |Host |客户端请求头部的 Host 字段，表示客户端实际访问的域名。 |`a.test.com` | |MatchedHost |匹配的 WAF 接入域名，例如接入域名为`*.test.com`，而实际访问域名是 `a.test.com`，此字段记录`*.test.com`。 |`*.test.com` | |MatchedInfo |规则匹配命中的字段值，例如敏感信息（身份证号或手机号等），漏洞规则的对应字符串。 |`[{"VarName":"RequestHeaders","Key":"X-Forwarded-For","Val":"sVyiy8bP' OR 252=(SELECT 252 FROM PG_SLEEP(15))--"}]` | |Method |客户端请求的请求方法。 |`GET` | |Path |被请求的相对路径，指被请求 URL 中域名后面且问号(?)前面的部分，不包含查询字符串。 |`/news/search.php` | |Plugin |防护策略类型。|`acl` |\ | || |\ | |* acl：访问管控| |\ | |* dlp：防敏感信息泄露| |\ | |* api_policy：API防护| |\ | |* bot_policy：Bot管理| |\ | |* cc_policy：cc防护| |\ | |* web_policy：漏洞防护 | | |PolicyID |防护规则 ID。 |`F000000000001` | |QueryArgs |客户端请求中的查询字符串，具体指被请求 URL 中问号(?)后面的部分。 |`title=tm_content%3Darticle&pid=123` | |RequestBodyType |请求 Body 类型，例如：application/x\-www\-form\-urlencoded、application/json 等。 |`application/json` | |ResponseBodyType |响应 Body 类型，例如：application/json、application/xml 等。 |`application/json` | |Referer |客户端请求头部的 Referer 字段，表示请求的来源 URL 信息。如果请求无来源 URL 信息，则该字段显示为空。 |`http://example.com` | |Scheme |请求协议，包括 HTTP 和 HTTPS。 |`HTTP` | |ServerProtocol |源站服务器响应 WAF 回源请求的协议及版本号。 |`HTTP/1.1` | |SensitiveTags |敏感信息标签。 |`测试` | |Status |WAF 响应客户端请求的 HTTP 状态码，包括：|`200` |\ | || |\ | |* 200：请求成功| |\ | |* 4XX：请求失败 | | |Time |客户端请求的发起时间。使用`UTC+8`时区表示，格式为`yyyy-MM-dd HH:mm:ss`。 |`2025-07-01 13:58:25` | |TraceID |WAF 为客户端请求生成的唯一标识。 |`7837b11715********************` | |UpStreamAddr |源站服务器的 IP 地址和端口。格式为`IP:Port`。多个记录间使用半角逗号（,）分隔。 |`192.168.0.0:55556` | |UpStreamResponseTime |源站服务器响应 WAF 回源请求的时间。 |`0.002` | |UpStreamStatus |源站服务器响应 WAF 回源请求的 HTTP 状态码，包括您自定义设置的状态码。 |`200` | |UserAgent |客户端请求头部的 User\-Agent 字段，包含请求来源的客户端浏览器标识、操作系统标识等信息。 |`Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)` | |VerificationStatus |执行动作（包括 JS 挑战、工作量证明、人机验证）验证通过情况。|`pass` |\ | || |\ | |* trigger：触发验证| |\ | |* timeout：超时后触发| |\ | |* ok：验证成功| |\ | |* pass：验证放行| |\ | |* failed：验证失败| |\ | |* block：失败后拦截| |\ | |* skip：失败后观察 | | |XForwardedFor |客户端请求头部的 X\-Forwarded\-For(XFF) 字段，用于识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。 |`192.1.**.**` | ## 可选字段可选字段是指您可以自定义配置是否需要采集的字段。 :::tip 启用更多字段会占用更多日志存储容量，请您结合业务需要和日志容量选择是否需要开启。 ::: ### 预置可选字段您可以在**日志管理\>日志设置\>字段采集范围\>可选字段**，配置需要的可选字段。操作详情请参见[设置日志参数](/docs/6511/935153)。以下是对应参数的说明和示例。 |字段 |说明 |示例值 | |---|---|---| |Cookie |客户端请求头部的 Cookie 字段，表示访问来源客户端的 Cookie 信息。 |`k1=v1; k2=v2` | |RequestBody |请求 body 内容。 |`{"username": "alice", "password": "123456"}` | |ResponseBody |响应 body 内容。当 Content\-Encoding 类型为 gzip 或者 deflate 时，WAF 日志将会以 Base64 编码格式返回响应 Body 内容，其余 Content\-Encoding 类型将以原文内容返回。|* Base64 编码返回：|\ | |:::tip||\ | |过长的压缩内容被截断后可能无法被正常还原。|```Plain|\ | ||H4sIAAAAAAAAA6tWKkktLlGyUlAy1lFKrShQKkosSFWyUvJSSkxJ5QIAEA98cxEAAAA=|\ | |:::|```|\ | | ||\ | | ||\ | | |* 原文返回|\ | | ||\ | | |```Plain|\ | | |{"status": "success", "token": "abc123xyz", "expires_in": 3600}|\ | | |```|\ | | | | |RuleDescription |命中规则对应的描述。|`用于限定对应 IP 的访问。` |\ | |:::tip| |\ | |该字段当前仅针对访问控制黑名单规则生效，其他规则条件下，该字段值为空。| |\ | || |\ | |:::| | |RuleName |命中规则对应的名称。|`rule1` |\ | |:::tip| |\ | |该字段当前仅针对访问控制黑名单规则生效，其他规则条件下，该字段值为空。| |\ | || |\ | |:::| | ### 自定义 Header 字段将防护网站接入 WAF 时，您可以选择是否记录全量 header 字段。 * **关闭**`记录全量 Header`：WAF 日志仅记录常见 header 字段，包括`Host`、`XForwardedFor`、`Referer`、`UserAgent`。如果您在日志设置的可选字段中启用了`Cookie`，则 WAF 也会同步采集`Cookie`字段。 * **开启**`记录全量 Header`：WAF 会记录以上常见 header 和其他自定义 header，自定义 header 信息将全部记录到 Headers 字段中，例如`Headers.Accept-Language`、`Headers.Accept-Encoding`、`Headers.Content-Length`等。

Web应用防火墙