Web 应用防火墙访问日志

功能简介
访问日志功能用于记录 Web 应用防火墙防护域名的访问日志信息，提供开启访问日志开关的域名在用户自定义的日志保存天数内（最大180天）的访问日志记录、查询和下载功能。启用访问日志功能后，您可以根据需要查询和下载访问日志。
注意：
如需使用访问日志功能，请先 购买安全日志服务包，并按照 操作步骤 启用访问日志开关。请注意，Web应用防火墙仅会记录已开启访问日志开关的域名所对应的访问日志。
若需关闭访问日志功能，请在 域名接入 页面中找到对应的域名，关闭访问日志功能。
若需关闭访问日志功能的自动续费，请在 续费管理 页面中找到对应的安全日志服务包计费项，并取消其自动续费。
服务包到期后，系统将停止存储新增访问日志。
资源销毁后，所有历史日志将在24小时内被清空，该操作不可逆，请您谨慎处理。
安全日志服务包到期后，资源将保留7天。在此期间内续费视为续订，计费周期将从原到期日起算；超过7天后未续费，日志资源将被销毁，此后再次购买将视为新购订单。
当已存储的日志量超出所购容量时，系统将自动停止写入新的访问日志，但历史日志仍会保留直至达到预设存储周期后自动删除。 为避免日志量超额导致新日志丢失，建议您定期关注日志存储容量使用情况，并及时扩容，以确保访问日志的完整记录。
操作步骤
启用访问日志
登录 Web 应用防火墙控制台，在左侧导航栏中，选择接入管理 > 域名接入，进入域名接入页面，在域名列表中选择域名，单击
﻿
开启访问日志开关。 
配置访问日志存储
注意：
全部日志存储配置仅在选中“全部实例”且“全部域名”时展示，选中“单个域名”时，仅支持修改该域名的日志存储字段设置。
1. 登录 Web 应用防火墙控制台，在左侧导航栏中，选择访问日志，并单击日志服务。
2. 在日志服务页面，左上角可切换实例和域名；单击右上角存储配置，可以查看并修改日志存储相关配置。
﻿
生效域名范围：支持查看已经开启访问日志的域名数量，并支持单击前往设置，在域名列表中修改单个域名的访问日志开关开启状态。
﻿
日志保存天数：单击编辑，即可修改日志保存天数。支持修改为7天、30天、32天、60天、90天、180天。每2个月支持修改1次存储时长。
﻿
说明：
日志保存天数支持设置最大180天。为满足等保合规要求，建议用户访问日志存储天数设置为180天。
修改日志存储时长后，修改前存储的日志将按原存储时长淘汰，新存储的日志按修改后的存储时长淘汰。
日志字段设置：单击编辑，支持自定义勾选保存 BOT 信息、请求内容 Request Body、自定义 Headers。
﻿
说明：
日志字段设置支持基于全部域名、单个域名进行设置。全部域名及单个域名均配置策略时，针对单个域名配置的策略优先生效。
日志清空次数：单击手动清空，支持删除当前存储的所有历史日志，部分统计和报表数据将被丢弃，操作不可恢复。每个自然月支持最多清空4次。
﻿
说明：
手动清空仅能针对当前所有日志，且操作预计耗时10分钟左右，操作期间停止写入日志。
存储告警设置：单击编辑，支持设置通知的阈值百分比。当日志存储量达到您设定的阈值百分比，即会触发对当前账户短信、站内信、邮件、微信、企业微信等渠道的告警通知。
﻿
说明：
告警频率：达到设置的百分比后，每天最多发送1次日志存储告警消息，避免消息过多形成干扰。
接收渠道及接收人设置：如需修改消息接收人或接收方式，请前往 消息中心 进行设置。
3. 在日志服务页面，右上角可查看日志已使用容量进度条，单击了解详情，可跳转到 Web 应用防火墙的计费详情页面。
﻿
检索访问日志
1. 登录 Web 应用防火墙控制台，在左侧导航栏中，选择访问日志。
2. 在访问日志页面，单击日志服务，切换到日志服务页面。
3. 检索访问日志前，请先设置检索的范围。选择实例和域名，设置时间范围，单击 
﻿
。
﻿
交互模式：根据交互条件，检索访问日志。
3.1.1 在访问日志  > 日志服务页面，选择交互模式。
﻿
3.1.2 单击添加检索条件，选择日志详情字段和逻辑关系，单击确定。日志详情字段说明请参考 日志详情字段。
﻿
3.1.3 重复执行上一步，直到添加完所有检索条件，单击
﻿
。
语句模式：根据检索语句，检索访问日志。
3.1.4 在访问日志  > 日志服务页面，选择语句模式。
﻿
﻿
3.1.5 您可以通过以下两种方式编写查询语句：
在语句框中直接输入检索语句，然后单击 
﻿
 查询。检索语法详情说明请参考 语法规则。
使用 AI 智能编写辅助生成查询语句，详情请参考 智能编写查询语句。
分析访问日志
原始日志
1. 登录 Web 应用防火墙控制台，在左侧导航栏中选择访问日志。
2. 在访问日志页面，单击日志服务 > 原始日志。
在原始日志上方，可以查看当前检索条件下符合条件的日志总条数和时间分布等关键信息；也可以通过下方设置栏切换原始日志的展示样式。
﻿
在原始日志数据列表左侧，单击“字段名称”，会按日志数大小排序展示与本字段匹配的 TOP 5 字段详情及日志数占比。日志详情字段说明请参考 日志详情字段说明。
﻿
在访问日志数据列表中，单击每条展示日志发生时间左侧的
﻿
，可以查看字段详情；单击 JSON，可以查看 JSON 格式的字段详情。日志详情字段说明请参考 日志详情字段说明。
﻿
统计图表
1. 登录 Web 应用防火墙控制台，在左侧导航栏中选择访问日志。
2. 在访问日志页面，单击日志服务 > 统计图表。
3. 生成图表时，您可以选择：
交互模式：通过添加统计语句来生成图表。单击添加统计语句，配置具体的指标、维度、排序方式、统计方法，并设定最大返回结果数量，单击确定。
﻿
语句模式：直接使用查询语句进行绘图：
在语句框中直接输入检索语句，然后单击 
﻿
 查询。检索语法详情说明请参考 语法规则。
使用 AI 智能编写辅助生成查询语句，详情请参考 智能编写查询语句。
﻿
4. 图表生成后，您可以通过以下两种方式调整其展示效果：
在图表配置中直接修改图表类型。
﻿
使用图表推荐提供的样式或语句模板快速优化展示。
﻿
下载访问日志
1. 登录 Web 应用防火墙控制台，在左侧导航栏中选择访问日志。
2. 在访问日志页面，单击日志服务 > 原始日志。
3. 在原始日志数据列表右上角， 单击
﻿
，侧边栏展开下载任务页面。
﻿
单击下载日志，进入下载日志数据页面。根据需要对数据格式、日志排序、选择字段、日志数量等选项进行设置，单击导出。
﻿
注意：
默认下载当前检索的日志范围。
同一时间段内只允许创建一个下载任务，请耐心等待。
单次最多下载100万条日志，如果您需要下载的日志超过100万条，建议您分多次任务进行下载。
当选择泛域名（如：*.abc.com）时，所有关联子域名（以.abc.com结尾）的日志也将会被下载。
最多创建五条下载任务，请注意下载的任务数。
单击下载记录，进入下载记录页面。可在此查看所有的下载任务相关信息，并对已完成的下载任务进行删除或下载操作。
﻿
说明
创建成功的日志下载任务，保留3天，超过3天之后日志文件将会删除，请及时下载。
日志投递
日志投递支持当前 WAF 引擎采集到的全部访问日志字段数据，用户只需要在 WAF 控制台进行简单配置，即可完成访问日志数据准实时投递服务。日志投递相关内容请参考日志投递。
附录
日志详情字段说明
信息类型
字段名
说明
基础信息
domain
客户端请求访问的域名信息，泛域名或者对象接入时，当前为精准的域名。
﻿
request_time
请求耗时：客户端请求达到 Web 应用防火墙和从 Web 应用防火墙返回需要的时间。单位：秒。
﻿
client
访问源 IP：客户端请求源 IP。
﻿
uuid
请求 UUID：HTTP 请求唯一标识。
﻿
schema
请求协议：HTTP 或者 HTTPS。
﻿
method
客户端请求方法。
﻿
instance
所属 Web 应用防火墙实例 ID。
﻿
query
客户端 HTTP 请求的 Query String，最大长度为1K Byte。
﻿
time
NGINX 记录的客户端 HTTP 请求发生时间，以本地可读的时间格式表示。
﻿
timestamp
客户端 HTTP 请求发生时的 ISO 8601 标准格式时间戳。
﻿
appid
用户腾讯云账号的 APPID。
Header头部详情
url
客户端 HTTP 请求头部字段，记录客户端完整请求路径中，域名后第一个“/”到“?”之间的内容。
﻿
accept
客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的响应内容类型。
﻿
encoding
客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的压缩算法。
﻿
language
客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的语言。
﻿
connection
客户端 HTTP 请求头部字段，控制连接行为，例如保持连接、关闭连接等。
﻿
content_type
客户端 HTTP 请求头部字段，指定请求体的 MIME 类型。
﻿
cookie
客户端 HTTP 请求头部字段，记录请求的 Cookie 信息，最大长度为1K。单位：Byte。
﻿
host
客户端 HTTP 请求头部字段，记录客户端请求域名。
﻿
referer
客户端 HTTP 请求头部字段，记录请求的来源 URL 信息。如果请求无来源 URL 信息，则该字段显示-。
﻿
x_forwarded_for
客户端 HTTP 请求头部字段，记录客户端请求经过的所有代理 IP 地址及客户端真实 IP 地址。
﻿
user_agent
客户端 HTTP 请求头部字段，记录客户端的软件和操作系统信息。
﻿
request_length
客户端 HTTP 请求的字节数。单位：Byte。
响应详情
upstream_status
源站返回给 Web 应用防火墙的响应状态码。
﻿
status
SaaS 型 Web 应用防火墙返回给客户端的响应状态码：
200：正常请求
202：前端对抗
302：重定向
403：拦截
4XX：参考 HTTP 响应状态码标准定义
5XX：参考 HTTP 响应状态码标准定义
负载均衡型 Web 应用防火墙返回给负载均衡的响应状态码：
600：正常请求
624：前端对抗
621：重定向
615：拦截
﻿
bytes_sent
响应体大小。单位：Byte。
﻿
upstream_connect_time
客户端请求从 Web 应用防火墙到源站需要的连接时间。单位：秒。
﻿
upstream_response_time
客户端请求从源站返回到 Web 应用防火墙需要的时间。单位：秒。
﻿
upstream
源站服务器的 IP 地址。
基础攻击日志
attack_type
攻击类型：攻击具体命中的攻击类型。
﻿
sec_action
执行动作，客户端攻击触发的处置动作，包括观察（0）、拦截（1）、人机识别（2）、重定向（3）四种处理结果。
﻿
rule_id
规则ID：触发防护策略的规则ID。
﻿
risk_level
风险等级：客户端攻击触发的风险等级，包括高危(1)、中危(2)、低危(3)三种风险等级。
﻿
sec_chain
请求经过的安全模块及对应执行动作。
BOT防护详情
bot_module
当前访问请求命中的 BOT 检测模块。
﻿
bot_action
当前访问请求对应执行的 BOT 处置动作。
﻿
bot_score
当前访问请求的 BOT 得分信息。
﻿
bot_label
当前访问请求命中的 BOT 标签。
﻿
ua_type
当前访问请求中访问用户的 User-Agent 类型。
﻿
ua_crawlername
当前访问请求中疑似爬虫的 User-Agent 名称。
﻿
ua_fake
当前访问请求中的 User-Agent 是否伪造，0为否，1为是。
﻿
ua_goodbot
当前访问请求中的 BOT 是否为 goodbot，0为否，1为是。
﻿
bot_ai
当前访问请求是否命中 AI 引擎的异常请求，0为无异常，1为异常。
﻿
bot_stat
当前访问请求是否命中智能统计的异常请求，0为无异常，1为异常。
﻿
bot_ti_tags
当前访问请求是否命中威胁情报，展示命中的情报标签。
﻿
bot_id
当前访问请求的 BOT ID。
﻿
bot_scene_id
当前访问请求命中的 BOT 场景ID。
﻿
bot_action_id
当前访问请求命中的 BOT 动作策略 ID。
﻿
bot_rule_id
当前访问请求命中的 BOT 规则 ID。
﻿
bot_rule_name
当前访问请求命中的 BOT 规则名称。
﻿
bot_token
当前访问请求的 BOT 会话 ID。
﻿
bot_tld_risk_tag
当前访问请求的终端风险标签情况（需购买 RCE 设备安全能力）。
﻿
bot_ua
当前访问请求是否命中了 ua 策略。
访问IP信息
ipinfo_nation
访问 IP 所属国家名称。
﻿
ipinfo_state
访问 IP 所属国家英文简称。
﻿
ipinfo_city
访问 IP 所属城市。
﻿
ipinfo_province
访问 IP 所属省份。
﻿
ipinfo_isp
访问 IP 所属运营商。
﻿
ipinfo_detail
访问 IP 详情。
﻿
ipinfo_longitude
访问 IP 所属经度信息。
﻿
ipinfo_dimensionality
访问 IP 所属纬度信息。
其他自定义字段
headers
协议头部信息：包括自定义头部信息。
﻿
body
请求内容 Request Body。
﻿
attack_category
攻击一级分类。
﻿
attack_content
攻击内容：客户端触发攻击的内容。
﻿
attack_place
攻击位置：攻击方式在 HTTP 请求中的位置。
﻿
count
攻击次数：相同攻击源 IP 和攻击类型，汇总每10秒产生的攻击次数。
﻿
waf_verify
验证码通过验证标记。
﻿
pan
接入域名或者 clb 对象。
﻿
http_log
记录 HTTP 请求和响应信息的日志文件。
﻿
args_name
命中攻击日志参数名称：HTTP 请求中的参数名。
sec_chain 字段说明
模块字段说明
模块字段名
模块类型
web_sec
Web 基础安全
cc
CC 防护
areaban
访问控制-地域封禁
whitelist
IP 白名单、精准白名单
bw_list
IP 黑名单
acl
访问控制
bot 
Bot 管理
ip_punish
Web 基础安全-IP 封禁
business_risk
业务安全
ai
AI 引擎
captcha
验证码服务
api_sec
API 安全
执行动作说明 
动作代码
动作说明
0
Bypass 
1
Deny 
2
CAPTCHA 
3
Redirect
4
Log
5
No_Action 
6
Empty_Rules 
7
Allow 
9
Return 
10
Reload 
11
Error
12
Miss 
13
JSChallenge 
14
Delay 
15
AUTO_CAPTCHA_LOG 
16
AUTO_CAPTCHA_DENY 
20
Action Unknown​

信息类型	字段名	说明
基础信息	domain	客户端请求访问的域名信息，泛域名或者对象接入时，当前为精准的域名。
		request_time	请求耗时：客户端请求达到 Web 应用防火墙和从 Web 应用防火墙返回需要的时间。单位：秒。
		client	访问源 IP：客户端请求源 IP。
		uuid	请求 UUID：HTTP 请求唯一标识。
		schema	请求协议：HTTP 或者 HTTPS。
		method	客户端请求方法。
		instance	所属 Web 应用防火墙实例 ID。
		query	客户端 HTTP 请求的 Query String，最大长度为1K Byte。
		time	NGINX 记录的客户端 HTTP 请求发生时间，以本地可读的时间格式表示。
		timestamp	客户端 HTTP 请求发生时的 ISO 8601 标准格式时间戳。
		appid	用户腾讯云账号的 APPID。
Header头部详情	url	客户端 HTTP 请求头部字段，记录客户端完整请求路径中，域名后第一个“/”到“?”之间的内容。
		accept	客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的响应内容类型。
		encoding	客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的压缩算法。
		language	客户端 HTTP 请求头部字段，用于告知服务器客户端所支持的语言。
		connection	客户端 HTTP 请求头部字段，控制连接行为，例如保持连接、关闭连接等。
		content_type	客户端 HTTP 请求头部字段，指定请求体的 MIME 类型。
		cookie	客户端 HTTP 请求头部字段，记录请求的 Cookie 信息，最大长度为1K。单位：Byte。
		host	客户端 HTTP 请求头部字段，记录客户端请求域名。
		referer	客户端 HTTP 请求头部字段，记录请求的来源 URL 信息。如果请求无来源 URL 信息，则该字段显示-。
		x_forwarded_for	客户端 HTTP 请求头部字段，记录客户端请求经过的所有代理 IP 地址及客户端真实 IP 地址。
		user_agent	客户端 HTTP 请求头部字段，记录客户端的软件和操作系统信息。
		request_length	客户端 HTTP 请求的字节数。单位：Byte。
响应详情	upstream_status	源站返回给 Web 应用防火墙的响应状态码。
		status	SaaS 型 Web 应用防火墙返回给客户端的响应状态码： 200：正常请求 202：前端对抗 302：重定向 403：拦截 4XX：参考 HTTP 响应状态码标准定义 5XX：参考 HTTP 响应状态码标准定义负载均衡型 Web 应用防火墙返回给负载均衡的响应状态码： 600：正常请求 624：前端对抗 621：重定向 615：拦截
		bytes_sent	响应体大小。单位：Byte。
		upstream_connect_time	客户端请求从 Web 应用防火墙到源站需要的连接时间。单位：秒。
		upstream_response_time	客户端请求从源站返回到 Web 应用防火墙需要的时间。单位：秒。
		upstream	源站服务器的 IP 地址。
基础攻击日志	attack_type	攻击类型：攻击具体命中的攻击类型。
		sec_action	执行动作，客户端攻击触发的处置动作，包括观察（0）、拦截（1）、人机识别（2）、重定向（3）四种处理结果。
		rule_id	规则ID：触发防护策略的规则ID。
		risk_level	风险等级：客户端攻击触发的风险等级，包括高危(1)、中危(2)、低危(3)三种风险等级。
		sec_chain	请求经过的安全模块及对应执行动作。
BOT防护详情	bot_module	当前访问请求命中的 BOT 检测模块。
		bot_action	当前访问请求对应执行的 BOT 处置动作。
		bot_score	当前访问请求的 BOT 得分信息。
		bot_label	当前访问请求命中的 BOT 标签。
		ua_type	当前访问请求中访问用户的 User-Agent 类型。
		ua_crawlername	当前访问请求中疑似爬虫的 User-Agent 名称。
		ua_fake	当前访问请求中的 User-Agent 是否伪造，0为否，1为是。
		ua_goodbot	当前访问请求中的 BOT 是否为 goodbot，0为否，1为是。
		bot_ai	当前访问请求是否命中 AI 引擎的异常请求，0为无异常，1为异常。
		bot_stat	当前访问请求是否命中智能统计的异常请求，0为无异常，1为异常。
		bot_ti_tags	当前访问请求是否命中威胁情报，展示命中的情报标签。
		bot_id	当前访问请求的 BOT ID。
		bot_scene_id	当前访问请求命中的 BOT 场景ID。
		bot_action_id	当前访问请求命中的 BOT 动作策略 ID。
		bot_rule_id	当前访问请求命中的 BOT 规则 ID。
		bot_rule_name	当前访问请求命中的 BOT 规则名称。
		bot_token	当前访问请求的 BOT 会话 ID。
		bot_tld_risk_tag	当前访问请求的终端风险标签情况（需购买 RCE 设备安全能力）。
		bot_ua	当前访问请求是否命中了 ua 策略。
访问IP信息	ipinfo_nation	访问 IP 所属国家名称。
		ipinfo_state	访问 IP 所属国家英文简称。
		ipinfo_city	访问 IP 所属城市。
		ipinfo_province	访问 IP 所属省份。
		ipinfo_isp	访问 IP 所属运营商。
		ipinfo_detail	访问 IP 详情。
		ipinfo_longitude	访问 IP 所属经度信息。
		ipinfo_dimensionality	访问 IP 所属纬度信息。
其他自定义字段	headers	协议头部信息：包括自定义头部信息。
		body	请求内容 Request Body。
		attack_category	攻击一级分类。
		attack_content	攻击内容：客户端触发攻击的内容。
		attack_place	攻击位置：攻击方式在 HTTP 请求中的位置。
		count	攻击次数：相同攻击源 IP 和攻击类型，汇总每10秒产生的攻击次数。
		waf_verify	验证码通过验证标记。
		pan	接入域名或者 clb 对象。
		http_log	记录 HTTP 请求和响应信息的日志文件。
		args_name	命中攻击日志参数名称：HTTP 请求中的参数名。

模块字段名	模块类型
web_sec	Web 基础安全
cc	CC 防护
areaban	访问控制-地域封禁
whitelist	IP 白名单、精准白名单
bw_list	IP 黑名单
acl	访问控制
bot	Bot 管理
ip_punish	Web 基础安全-IP 封禁
business_risk	业务安全
ai	AI 引擎
captcha	验证码服务
api_sec	API 安全

动作代码	动作说明
0	Bypass
1	Deny
2	CAPTCHA
3	Redirect
4	Log
5	No_Action
6	Empty_Rules
7	Allow
9	Return
10	Reload
11	Error
12	Miss
13	JSChallenge
14	Delay
15	AUTO_CAPTCHA_LOG
16	AUTO_CAPTCHA_DENY
20	Action Unknown

访问日志

本页目录：

功能简介

操作步骤

启用访问日志

配置访问日志存储

检索访问日志

分析访问日志

原始日志

统计图表

下载访问日志

日志投递

附录

日志详情字段说明

sec_chain 字段说明

模块字段说明

执行动作说明