访问日志

最近更新时间:2020-06-22 15:09:37

功能简介

访问日志功能用于记录 Web 应用防火墙防护域名的访问日志信息,提供防御域名最近30天访问日志查询和下载功能,及不少于180天的访问日志存储服务。启用访问日志功能后,您可以根据需要查询和下载访问日志,满足安全合规、安全运维等需求。

注意:

  • 使用访问日志功能,需要先 购买安全日志服务包,并且根据 使用说明 启用访问日志开关。只有开启访问日志开关的域名,Web 应用防火墙才会记录该域名的访问日志。
  • 如需关闭访问日志功能,可以在 续费管理 中,找到相应计费项目,取消续费即可。

使用说明

启用访问日志

登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【防护设置】,进入防护设置页面,在域名列表中选择域名,单击开启访问日志开关。

查询访问日志

  1. 登录 Web 应用防火墙控制台,在左侧导航栏选择【日志服务】>【访问日志】,进入访问日志页面,查看对应域名的访问日志信息。
  2. 您可以单击列表右上角的设置按钮 ,在弹出的“自定义列表字段”页面中,选择您想显示的列表详细信息。如下图所示:
  3. 查询访问日志。查询功能支持多关键字组合搜索,输入对应日志字段的关键字后,单击回车键进行分隔,单击【查询】进行日志搜索。
    说明:

    • 访问日志检索支持键值 kv 检索,其中指定 key 为7个,value 值按照分词符(默认分词符为:!@#%^&*()-_="', <>/?|;:\n\t\r[]{})将日志数据切分成多个关键词,方便用户检索,关键词不区分大小写。
    • 模糊关键字搜索,访问日志支持模糊查询能力,通过特殊的模糊关键字进行日志检索,具体说明如下:
元字符 描述
* 模糊查询关键字,匹配零个、单个或多个任意字符。例如,输入abc*,会返回以abc开头的所有命中日志,不支持*开头。
? 模糊查询关键字,特定位置匹配单个字符。例如,输入ab?c,会返回以ab为开头,以c为结尾字符,且两者之间且有一个字符。

日志查询字段说明:

字段名称 字段说明 分词符说明
访问源 IP 客户端请求的源 IP。
访问 URI 客户端访问的 URI。
Query 客户端完整请求路径中“?”之后的内容。 共包括4种分词符,分别是
= & " '
Referer 客户端向服务器表明访问请求的来源 URL 信息。
Cookie 客户端访问服务器所携带的 Cookie 信息。 ;
User-Agent 客户端向服务器表明自己的浏览器类型和操作系统标识等信息。 共包括29种分词符,分别是
! @ # % ^ & * ) ( - _ = " ' , > < / ? | ; : ] [ } { \n \t \r
X-Forworder-For 客户端访问服务时,用来识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。
WAF 响应码 Web 应用防火墙返回给客户端的响应状态码。
源站响应码 源站返回给 Web 应用防火墙的响应状态码。
Body 客户端访问服务器请求所携带的 Body 信息。 共包括4种分词符,分别是
= & " '

下载访问日志

  1. 登录 Web 应用防火墙控制台,在左侧导航栏,选择【日志服务】>【访问日志】,进入访问日志页面,单击【日志查询】,在日子列表右上方,单击下载图标,创建下载任务。
    说明:

    • 同一时间段内只允许创建一个下载任务,请耐心等待。
    • 单次最多支持下载1万条日志,如果您需要下载的日志超过1万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
    • 当选择泛域名(如:*.abc.com)时,所有关联子域名(如以.abc.com结尾)的日志也将会被下载。
  2. 单击【查询下载任务】,选择下载任务,单击【下载】,将日志文件下载到本地。

    日志文件字段说明如下:
下载字段 字段描述
time 访问时间。
host 客户端请求域名。
client 客户端来源 IP。
ipinfo_nation 客户端来源 IP 的国家信息。
ipinfo_province 客户端来源 IP 的省份信息。
schema 客户端请求协议。
method 客户端请求方法。
url 客户端完整请求路径中,域名后第一个“/”到“?”之间的内容。
query 也称为 query string,客户端完整请求路径中“?”之后的内容。
cookie 客户端访问服务器所携带的 Cookie 信息。
referer 客户端向服务器表明访问请求的来源 URL 信息。
user-agent 客户端向服务器表明自己的浏览器类型和操作系统标识等信息。
x-forwarded-for 客户端访问服务器时,用来识别通过 HTTP 代理或负载均衡方式,连接到 Web 服务器的客户端最原始的 IP 地址。
status Web 应用防火墙返回给客户端的响应状态码。
upstream_status 源站返回给 Web 应用防火墙的响应状态码。
upstream 客户端请求经过 Web 应用防火墙之后的回源 IP 和端口。
upstream_connect_time 客户端请求从 Web 应用防火墙到源站需要的时间。
upstream_response_time 客户端请求从源站返回到 Web 应用防火墙需要的时间。
request_time 客户端请求达到 Web 应用防火墙和从 Web 应用防火墙返回需要的时间。
目录