开启全量日志功能后,Web应用防火墙将记录您网站的所有访问请求日志,您可以通过一键智能搜索快速定位请求记录,满足运维、安全方面的管理需求。

注意 全量日志功能仅对保有该功能的存量用户提供。新开通Web应用防火墙(WAF)时不再赠送全量日志功能。如果您需要使用网站访问日志,建议您开通WAF日志服务。更多信息,请参见开通WAF日志服务

背景信息

全量日志功能可以帮助您轻松地完成以下运维工作:
  • 确认某个具体请求是否被Web应用防火墙拦截或放行。
  • 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。
  • 查询源站对于某个具体请求的响应时间,观察是否超时等。
  • 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。

使用须知

  • 开启全量日志即表示您允许阿里云记录您全部经过Web应用防火墙的Web请求(POST数据不会被记录)。
  • 包年包月开通的Web应用防火墙服务支持保存最近一个月内的网站访问日志。按量付费开通的Web应用防火墙服务支持保存最近7天内的网站访问日志。
    说明 如果您需要满足日志存储180天的等保要求,建议您开通WAF日志服务。更多信息,请参见开通WAF日志服务
  • 一个Web应用防火墙实例最多可以为100个域名开启全量日志。

开启全量日志

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击资产中心 > 网站接入
  4. 定位到要操作的域名,开启日志检索开关。
    说明 只有保有全量日志功能的用户可以看到日志检索,否则您看到的是日志服务。关于日志服务的更多信息,请参见概述
    日志检索
    开启日志检索(即全量日志)后,Web应用防火墙将开始记录当前网站的访问日志,并提供全量日志查询服务(详见查询全量日志)。
    如果您不需要全量日志服务,可以在网站接入页面为域名关闭日志检索开关。
    说明 关闭日志检索后,网站的访问请求日志不会被记录。即使后续重新开启日志检索,您也无法查询到关闭期间的访问请求日志。

查询全量日志

  1. 登录Web应用防火墙控制台
  2. 在顶部菜单栏,选择Web应用防火墙实例的资源组和地域(中国内地海外地区)。
  3. 在左侧导航栏,单击日志管理 > 全量日志
  4. 日志查询页签下,选择要查询的域名,设置查询时间并单击搜索查询全量日志
    说明 包年包月开通的Web应用防火墙服务最多支持查询近一个月的数据;按量付费开通的Web应用防火墙服务最多支持查询近7天的数据
    您也可以单击高级搜索,设置更详细的搜索条件。关于高级搜索支持的过滤字段,请参见高级搜索条件高级搜索
  5. 查看日志搜索结果。
    • 业务访问量区域,查看搜索时间范围内的访问请求量趋势图。日志访问量
    • 访问日志列表,查看符合搜索条件的访问请求记录。
      例如,被访问控制策略拦截的访问请求记录如下图所示。关于日志字段的详细信息,请参见访问日志字段访问日志
  6. 可选:下载日志。
    您可以根据需要将当前搜索到的日志结果下载到本地。
    1. 单击日志查询页面右上方的日志下载
    2. 等待下载任务生成后,单击查看下载文件页签,将相应格式的日志文件下载到本地。
      说明 单个下载任务最多支持导出2000万条日志。如果您需要导出的日志超过2000万条,建议您分多个任务进行导出。

高级搜索条件

字段 描述
源IP 访问的客户端来源IP。
URL关键字 访问请求URL。
说明 所填写的URL关键字支持包含正斜杠(/)符号。例如,您可以填写/ntis/cashier
Cookie 访问请求头部中带有的访问来源客户端Cookie信息。
Referer 访问请求头部中带有的访问请求的来源URL信息。
User-Agent 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
X-Forwarded-For 访问请求头部中带有的XFF头信息。
服务器响应状态码 源站服务器返回给WAF的响应状态信息。
状态码支持填写最多三位数字,且支持模糊搜索。例如,输入4*进行搜索,将查找所有以4开头的状态码。
说明
  • *可以匹配0或多位数字,但不能以*开头。
  • 支持填写-,查找无状态信息的访问请求。
WAF返回客户端响应码 WAF返回给客户端的响应状态信息。
响应码支持填写最多三位数字,且支持模糊搜索。例如,输入4*进行搜索,将查找所有以4开头的响应码。
说明
  • *可以匹配0或多位数字,但不能以*开头。
  • 支持填写-,查找无状态信息的访问请求。
请求唯一ID标识 指定访问请求。如果存在访问请求被拦截,可以填写拦截页面中的该请求的ID进行搜索。
访问域名 当您对泛域名启用全量日志功能,可以利用该字段对一级子域名进行搜索。
防护规则 选择命中的防护规则类型,包括web攻击防护cc防护策略访问控制策略数据风控高频Web攻击IP自动封禁目录遍历防护扫描工具封禁协同防御

访问日志字段

名称 含义 描述
Time 访问时间 访问请求的发生时间,在所下载的日志文件中以UTC时间记录。
Domain 访问域名 访问请求的域名。
Source_IP 来源IP 访问的客户端来源IP。
IP_City 来源IP所属地区 访问来源IP所属地区,中国内地地区可精确到市级。
IP_Country 来源IP所属国家 访问来源IP所属国家。
Method 访问请求方法 访问的请求行中的请求类型。
URL 访问请求URL 访问请求行中的所访问的服务器资源。
Https 访问请求协议 访问请求行中的请求所使用的协议。
Referer HTTP Referer字段 访问请求头部中带有的访问请求的来源URL信息。
User-Agent HTTP User-Agent字段 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
X-Forwarded-For HTTP X-Forwarded-For字段 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
Cookie HTTP Cookie字段 访问请求头部中带有的访问来源客户端Cookie信息。
Attack_Type 防护状态
WAF对该访问请求的处理结果:
  • 0:表示未发现攻击。
  • 1:表示触发Web应用攻击防护规则。
  • 2:表示触发CC安全防护规则。
  • 3:表示触发精准访问控制规则。
  • 4:表示触发地区封禁防护策略。
  • 5:表示触发数据风控防护策略。
  • 6:表示触发高频扫描攻击封禁规则。
  • 7:表示触发目录遍历扫描防护规则。
  • 8:表示触发协同防护策略。
  • 9:表示触发扫描工具封禁规则。
Status 响应状态码 WAF返回给客户端的响应状态信息。
Upstream_Status 源站响应状态码 源站返回给WAF的响应状态。如果返回-,表示没有响应,例如该请求被WAF拦截或源站响应超时。
Upstream_IP 源站响应IP 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
Upstream_Time 源站响应时间 源站响应WAF请求的时间。如果返回-,表示响应超时。