事件日志

最近更新时间:2020-05-19 20:15:33

功能简介

安全加速 SCDN 对 Web 攻击请求的日志信息进行记录,记录内容包括攻击请求时间,攻击客户端 IP,攻击类型,攻击内容详情等。您可以根据需要,按照过滤条件创建日志下载任务,并下载对应攻击事件日志文件。

下载日志

登录 SCDN 控制台 在菜单栏里选择【事件日志】,您可以创建日志任务并下载所生成的日志文件,具体操作如下。

  • 您可以单击【创建日志任务】,选择需要下载日志的域名,筛选攻击类型(可选全部攻击类型,或一种攻击类型)、执行动作(可选全部执行动作,或一种执行动作),和时间范围,创建日志任务。
  • SCDN 支持下载最近1周范围内的攻击日志。
  • 单个日志任务最多支持下载1000条日志;每日允许创建100个下载任务。
  • 日志任务创建后,日志文件会在约1分钟内生成,您可以单击【下载】下载日志文件。
  • 日志任务生成的日志文件保留7天。

日志格式

日志文件

SCDN 事件日志文件包命名方式为 [host]-scdn-[uuid],默认打包为.gz文件。其中 [host] 为指定域名,[uuid] 为该日志任务的唯一识别码。日志文件包命名示例:

cloud.tencent.com-scdn-265bfe91-99d3-4964-a110-fc61a70a82d6.gz

日志正文

SCDN 事件日志使用 JSON 格式。日志中攻击记录包含的字段及其含义如下表所示:

字段名(key) 中文名/释义 字段值(value)示例
datetime 请求日期、时间(北京时间 UTC+8),格式为 YYYYMMDDHHMMSS 20200514145500
server_ip 边缘安全节点 IP 119.29.29.29
client_ip 客户端 IP 119.29.29.29
host 请求域名 cloud.tencent.com
path_query 请求路径、查询字符串 /cache.txt?id=1%20or%205=5
status_code HTTP 响应状态码:当状态码为 566 时,Web 攻击防护执行动作为拦截;当状态码为其他时,执行动作为观察 566
time_taken 响应时间(毫秒),指节点从收到请求后到响应所有回包所花费的时间 12
referer 请求 referer 头部信息 https://cloud.tencent.com/
user_agent 请求 User-Agent 头部信息 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
cookie 请求 Cookie 头部信息 isQcloudUser=false; language=zh
req_header_size 请求头部大小(字节) 360
req_body_size 请求正文大小(字节) 0
rsp_header_size 响应头部大小(字节) 259
rsp_bytes 响应字节数,节点实际响应客户端内容大小(字节),包括头部、正文 259
waf_attack_payload Web 攻击请求的攻击内容 /cache.txt?id=1 or 5=5
waf_attack_type Web 攻击请求的攻击类型 1010
waf_attack_location Web 攻击请求发生的位置,例如请求参数、URI、IP 等 REQUEST_URI_RAW
uuid 请求唯一标识符 2844838522671723187

事件日志记录(JSON 格式化后)示例:

{
        "datetime": "20200514145500",
        "server_ip": "119.29.29.29",
        "client_ip": "119.29.29.29",
        "host": "cloud.tencent.com",
        "path_query": "/cache.txt?id=1%20or%205=5",
        "status_code": "566",
        "time_taken": "12",
        "referer": "https://cloud.tencent.com/",
        "user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36",
        "cookie": "isQcloudUser=false; language=zh",
        "req_header_size": "360",
        "req_body_size": "0",
        "rsp_header_size": "259",
        "rsp_bytes": "259",
        "waf_attack_payload": "/cache.txt?id=1 or 5=5",
        "waf_attack_type": "1010",
        "waf_attack_location": "REQUEST_URI_RAW",
        "uuid": "2844838522671723187"
}

攻击类型映射

攻击类型 ID 攻击类型
1001 恶意扫描
1010 SQL 注入攻击
1011 XSS 攻击
1012 命令注入攻击
1013 LDAP 注入攻击
1014 SSI 注入攻击
1015 XML 注入攻击
1016 Web 服务漏洞攻击
1017 Web 应用漏洞攻击
1018 路径跨越攻击
1019 核心文件非法访问
1020 文件上传攻击
1021 木马后门攻击
1022 CSRF 攻击
1000 未知类型
目录