本文为您介绍如何使用攻击日志进行攻击日志索引、快速分析和查询。
背景信息
Web 应用防火墙默认提供攻击日志功能,详细记录攻击产生的时间、攻击源 IP、攻击类型及攻击详情等信息。攻击日志仅支持查询或导出最近30天日志。攻击日志支持全文检索、模糊搜索和组合条件搜索等检索方式,同时支持根据检索条件下载日志,支持百万级日志下载。
检索攻击日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择攻击日志 > 日志服务。
2. 在日志服务页面,您可以根据需要,选择实例、域名、攻击类型、执行动作、风险等级及时间维度等信息,筛选查看攻击日志。
字段名称 | 字段说明 |
实例 | 支持多选,默认显示全部实例。 |
域名 | 支持多选,默认显示全部域名。 |
攻击类型 | 支持多选,默认为全部攻击类型,攻击类型包括各个安全模块产生的观察和拦截日志。 |
执行动作 | 单选,默认为全部执行动作,包括观察、重定向、人机识别、拦截四种类型。 |
风险等级 | 单选,默认为全部风险等级,包括高危、中危和低危三种类型。 |
时间范围 | 默认为近一小时,支持筛选最近时间及相对时间。 |
自动刷新 | 定时自动刷新当前页面,默认为关闭;若开启开关,您可选择按照时间范围刷新当前页面,获取最新攻击日志数据。 |
3. 设置完成检索条件,单击检索分析,即可查看检索分析结果。
分析攻击日志
1. 在攻击日志数据列表右上方,单击
2. 在攻击日志原始数据页面左侧,单击具体统计字段,可快速查看符合检索条件下,各个字段值在攻击日志中的占比。单击字段值,可快速筛选包含该字段值的所有攻击日志。
3. 在攻击日志数据列表中,单击
攻击处置
1. 在攻击日志数据列表中,支持单击操作列中的误报修正、源 IP 封禁,快速添加处置规则。
误报修正:支持一键添加对应防护模块的精准白名单规则,不再拦截对应 IP 访问,完成修改后,单击确定。
源 IP 封禁:支持一键添加 IP 黑名单,拦截对应 IP 的访问,完成修改后,单击确定。
2. 展开攻击日志数据列表详情,支持单击 attack_type 字段中的规则管理,支持快速查看并修改命中的防护规则。
说明:
当前支持快速查看自定义策略(访问控制规则、BOT规则)、信息防泄漏、网页防篡改、CC 策略拦截四种攻击类型的规则。
下载攻击日志
1. 在攻击日志数据列表右上方,单击
说明
默认下载当前检索的日志范围。
同一时间段内只允许创建一个下载任务,请耐心等待。
单次最多支持下载100万条日志,如果您需要下载的日志超过100万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
当选择泛域名(如
*.abc.com)时,所有关联子域名(如以.abc.com结尾)的日志也将会被下载。2. 在下载任务页面,单击创建任务。
3. 在创建下载任务弹窗内输入任意任务名称,单击创建后即可下载。
4. 创建任务后,在下载任务页面,可以查看创建日志文件的日志总数、下载进度、创建时间、过期时间和下载状态信息。单击下载,即可下载 CSV 格式的日志文件。
说明:
创建成功的日志下载任务,保留3天,超过3天之后日志文件将会删除,请及时下载。
日志投递
附录
日志详情字段说明
字段名称 | 字段说明 | 示例值 |
host | 客户端访问的域名信息。 | lb-example |
uri | 请求 URI :用于标识请求资源的字符串。 | /about-us |
attack_ip | 攻击源 IP:客户端攻击的源 IP。 | 1.1.1.1 |
attack_type | 攻击类型:攻击具体命中的攻击类型。 | XSS攻击 |
rule_id | 规则 ID:触发防护策略的规则 ID,其中 AI 引擎检测出的攻击详情的规则 ID 为0。 | 10000244 |
scene_id | 场景 ID:触发防护策略的场景 ID。 | 10000111 |
scene_module | 场景模块:触发防护策略的场景模块,包括前端对抗(jsinject)、自定义规则(ucb)、智能分析(autoanalyze)。 | jsinject |
method | 请求方法:客户端攻击请求方法。 | GET |
user_agent | 攻击源 IP 向服务器表明的浏览器类型和操作系统标识等信息。 | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36 (contact:menshen) |
risk_level | 风险等级:客户端攻击触发的风险等级,包括高危(1)、中危(2)、低危(3)三种风险等级。 | 1 |
status | 执行状态:攻击请求的处置结果,包括观察(0)、拦截(1)、人机识别(2)、重定向(3)四种处理结果。 | 1 |
count | 攻击次数:相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。 | 1 |
domain | 客户端攻击的域名信息。 | lb-example |
pan | 接入域名或 CLB 对象信息。 | lb-example |
domain_name | 客户端访问的域名信息。 | lb-example |
attack_time | 攻击时间:客户端攻击触发的时间。 | 2025-06-23T11:55:42+08:00 |
attack_place | 攻击位置:攻击发生在 HTTP 请求中的位置。 | Parameter |
action | 执行动作:客户端攻击触发的处置动作,包括观察(0)、拦截(1)、人机识别(2)、重定向(3)四种处理结果。 | 1 |
ipinfo_nation | 攻击 IP 所属国家名称。 | 中国 |
ipinfo_province | 攻击 IP 所属省份信息。 | 广东 |
ipinfo_city | 攻击 IP 所属城市。 | 东莞 |
ipinfo_state | 攻击 IP 所属国家信息,国家英文缩写。 | CN |
ipinfo_dimensionality | 攻击 IP 所属纬度信息。 | 22.79327 |
ipinfo_detail | 访问 IP 详情。 | - |
instance | 域名接入的 Web 应用防火墙实例名称。 | waf_examplename |
attack_category | 攻击一级分类,暂未提供。 | Web通用攻击 |
edition | 域名接入的 Web 应用防火墙实例类型:分为 sparta-waf(SaaS 型 WAF)和 clb-waf(负载均衡型 WAF)。 | clb-waf |
uuid | 日志唯一标识。 | 36643830ec3f8e9859a96bb91e6c5d24-615e8f475ee26f2fb3d37f8d53a00000 |
attack_content | 攻击内容:客户端触发攻击的内容。 | {"action":3,"type":1,"field":"alert("m3nsHen_Va1idation")","mc":"XSS攻击","offset":0,"sc":"XSS攻击","level":5,"target":"Parameter","match":"alert("m3nsHen_Va1idation")","data":"alert("m3nsHen_Va1idation")","sid":"010000244"} |
http_log | 记录 HTTP 请求和响应信息的日志文件:包含此次 http 请求的所有 http 信息。 说明: 超长自动截断,以实际记录大小为准。 | {"REQUEST_METHOD":"GET","PROTOCOL":"HTTP/1.1","REQUEST_ARG_RAW":"{"1750650000.4178421":true,"alert("m3nsHen_Va1idation")":true}"} |
headers | 协议头部信息:包括自定义头部信息。 | waf-customize-lbid: lb-example |
rule_name | 规则名称,暂未提供。 | - |
args_name | 参数名称:HTTP 请求中的参数名。 | Parameter |
dst_ip | 目标 IP 地址。 | 1.1.1.1 |
ipinfo_isp | 攻击 IP 运营信息。 | chinaunicom.com |
appid | 用户腾讯云账号的 APPID。 | 123****7891 |
ipinfo_longitude | 攻击 IP 的经度信息。 | 114.06931 |
is_white | 是否为情报白名单地址。 | 0 |
sec_chain | 请求经过的安全模块及对应执行动作。 | {"acl":{"ac":6},"areaban":{"ac":6},"bw_list":{"ac":12},"web_sec":{"id":10000244,"ac":1},"whitelist":{"ac":6}} |
