WEB应用防火墙 WAF-开启全量日志:WAF访问日志access_log字段说明
WAF访问日志access_log字段说明
字段 |
类型 |
字段说明 |
描述 |
---|---|---|---|
access_log.requestid |
string |
随机ID标识 |
与攻击日志的“req_id” 字段末尾8个字符一致。 |
access_log.time |
string |
访问请求的时间 |
日志内容记录的GMT时间。 |
access_log.connection_requests |
string |
标识该长链接第几个请求 |
- |
access_log.eng_ip |
string |
WAF引擎IP |
- |
access_log.pid |
string |
标识处理该请求的引擎 |
引擎(worker PID)。 |
access_log.hostid |
string |
访问请求的域名标识 |
防护域名ID(upstream_id)。 |
access_log.tenantid |
string |
防护域名的租户ID |
一个华为账号对应一个租户ID。 |
access_log.projectid |
string |
防护域名的项目ID |
用户在对应区域下的项目ID。 |
access_log.remote_ip |
string |
标识请求的四层远端 IP |
请求的客户端IP。 须知:
如果在WAF前部署了7层代理,本字段表示最靠近WAF的代理节点的IP地址。此时,真实访问者IP参考“x-forwarded-for”,“x_real_ip”字段。 |
access_log.remote_port |
string |
标识请求的四层远端端口号 |
请求的客户端端口号。 |
access_log.sip |
string |
标识请求的客户端 IP |
如,XFF等。 |
access_log.scheme |
string |
请求协议类型 |
请求所使用的协议有:
|
access_log.response_code |
string |
请求响应码 |
源站返回给WAF的响应状态码。 |
access_log.method |
string |
请求方法 |
请求行中的请求类型。通常为“GET”或“POST”。 |
access_log.http_host |
string |
请求的服务器域名 |
浏览器的地址栏中输入的地址,域名或IP地址。 |
access_log.url |
string |
请求URL |
URL链接中的路径(不包含域名)。 |
access_log.request_length |
string |
请求的长度 |
包括请求地址、HTTP请求头和请求体的字节数。 |
access_log.bytes_send |
string |
发送给客户端的总字节数 |
WAF返回给客户端的总字节数。 |
access_log.body_bytes_sent |
string |
发送给客户端的响应体字节数 |
WAF返回给客户端的响应体字节数。 |
access_log.upstream_addr |
string |
选择的后端服务器地址 |
请求所对应的源站IP。例如,WAF回源到E CS ,则返回源站ECS的IP。 |
access_log.request_time |
string |
标识请求处理时间 |
从读取客户端的第一个字节开始计时(单位:s)。 |
access_log.upstream_response_time |
string |
标识后端服务器响应时间 |
后端服务器响应WAF请求的时间(单位:s)。 |
access_log.upstream_status |
string |
标识后端服务器的响应码 |
后端服务器返回给WAF的响应状态码。 |
access_log.upstream_connect_time |
string |
后端服务器连接用时 |
源站与后端服务建立连接的时间。如果后端服务使用了加密协议,该参数包括握手的时间(单位:s)。 |
access_log.upstream_header_time |
string |
后端服务器接收到第一个响应头字节的用时 |
- |
access_log.bind_ip |
string |
WAF引擎回源IP |
WAF引擎所使用的回源IP。 |
access_log.group_id |
string |
对接LTS服务的日志组ID |
WAF对接 云日志 服务日志组ID。 |
access_log.access_stream_id |
string |
日志流ID |
与“group_id”相关,是日志组下用户的access_stream的ID。 |
access_log.engine_id |
string |
WAF引擎标识 |
WAF引擎的唯一标识。 |
access_log.time_iso8601 |
string |
日志的ISO 8601格式时间 |
- |
access_log.sni |
string |
通过SNI请求的域名 |
- |
access_log.tls_version |
string |
建立SSL连接的协议版本 |
请求所使用的TLS协议版本。 |
access_log.ssl_curves |
string |
客户端支持的曲线列表 |
- |
access_log.ssl_session_reused |
string |
SSL会话是否被重用。 |
表示SSL会话是否被重用。 r:是 .:否 |
access_log.process_time |
string |
引擎的检测用时(单位:ms) |
- |
access_log.args |
string |
标识URL中的参数数据 |
- |
access_log.x_forwarded_for |
string |
当WAF前部署代理时,代理节点IP链 |
代理节点IP链,为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址,代理服务器每成功收到一个请求,就将请求来源IP地址添加到右边。 |
access_log.cdn_src_ip |
string |
当WAF前部署CDN时CDN识别到的客户端IP |
当WAF前部署CDN时,此字段记录的为CDN节点识别到的真实客户端IP。 须知:
部分CDN厂商可能使用其他字段,WAF仅记录最常见的字段。 |
access_log.x_real_ip |
string |
当WAF前部署代理时,真实的客户端IP |
代理节点识别到的真实客户端IP。 |
access_log.intel_crawler |
string |
用于情报反爬虫分析 |
- |
access_log.ssl_ciphers_md5 |
string |
标识ssl_ciphers的md5值 |
- |
access_log.ssl_cipher |
string |
标识使用的ssl_cipher |
- |
access_log.web_tag |
string |
标识网站名称 |
- |
access_log.user_agent |
string |
标识请求header中的user-agent |
- |
access_log.upstream_response_length |
string |
标识后端响应的大小 |
- |
access_log.region_id |
string |
标识请求所属Region |
- |
access_log.enterprise_project_id |
string |
标识请求域名所属企业项目ID |
- |
access_log.referer |
string |
标识请求头中的Referer内容 |
最大长度为128字符,大于128字符会被截断。 |
access_log.rule |
string |
标识请求命中的规则 |
命中多条规则此处也只会显示一条。 |