开启全量日志功能后,Web应用防火墙将记录您网站的所有访问请求日志,您可以通过一键智能搜索快速定位请求记录,满足运维、安全方面的管理需求。
注意 全量日志功能仅对保有该功能的存量用户提供。新开通Web应用防火墙(WAF)时不再赠送全量日志功能。如果您需要使用网站访问日志,建议您开通WAF日志服务。更多信息,请参见开通WAF日志服务。
背景信息
全量日志功能可以帮助您轻松地完成以下运维工作:
- 确认某个具体请求是否被Web应用防火墙拦截或放行。
- 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。
- 查询源站对于某个具体请求的响应时间,观察是否超时等。
- 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。
使用须知
- 开启全量日志即表示您允许阿里云记录您全部经过Web应用防火墙的Web请求(POST数据不会被记录)。
- 包年包月开通的Web应用防火墙服务支持保存最近一个月内的网站访问日志。按量付费开通的Web应用防火墙服务支持保存最近7天内的网站访问日志。说明 如果您需要满足日志存储180天的等保要求,建议您开通WAF日志服务。更多信息,请参见开通WAF日志服务。
- 一个Web应用防火墙实例最多可以为100个域名开启全量日志。
开启全量日志
查询全量日志
高级搜索条件
字段 | 描述 |
---|---|
源IP | 访问的客户端来源IP。 |
URL关键字 | 访问请求URL。
说明 所填写的URL关键字支持包含正斜杠(/)符号。例如,您可以填写
/ntis/cashier 。
|
Cookie | 访问请求头部中带有的访问来源客户端Cookie信息。 |
Referer | 访问请求头部中带有的访问请求的来源URL信息。 |
User-Agent | 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。 |
X-Forwarded-For | 访问请求头部中带有的XFF头信息。 |
服务器响应状态码 | 源站服务器返回给WAF的响应状态信息。
状态码支持填写最多三位数字,且支持模糊搜索。例如,输入
4* 进行搜索,将查找所有以4开头的状态码。
说明
|
WAF返回客户端响应码 | WAF返回给客户端的响应状态信息。
响应码支持填写最多三位数字,且支持模糊搜索。例如,输入
4* 进行搜索,将查找所有以4开头的响应码。
说明
|
请求唯一ID标识 | 指定访问请求。如果存在访问请求被拦截,可以填写拦截页面中的该请求的ID进行搜索。 |
访问域名 | 当您对泛域名启用全量日志功能,可以利用该字段对一级子域名进行搜索。 |
防护规则 | 选择命中的防护规则类型,包括web攻击防护、cc防护策略、访问控制策略、数据风控、高频Web攻击IP自动封禁、目录遍历防护、扫描工具封禁、协同防御。 |
访问日志字段
名称 | 含义 | 描述 |
---|---|---|
Time | 访问时间 | 访问请求的发生时间,在所下载的日志文件中以UTC时间记录。 |
Domain | 访问域名 | 访问请求的域名。 |
Source_IP | 来源IP | 访问的客户端来源IP。 |
IP_City | 来源IP所属地区 | 访问来源IP所属地区,中国内地地区可精确到市级。 |
IP_Country | 来源IP所属国家 | 访问来源IP所属国家。 |
Method | 访问请求方法 | 访问的请求行中的请求类型。 |
URL | 访问请求URL | 访问请求行中的所访问的服务器资源。 |
Https | 访问请求协议 | 访问请求行中的请求所使用的协议。 |
Referer | HTTP Referer字段 | 访问请求头部中带有的访问请求的来源URL信息。 |
User-Agent | HTTP User-Agent字段 | 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。 |
X-Forwarded-For | HTTP X-Forwarded-For字段 | 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
Cookie | HTTP Cookie字段 | 访问请求头部中带有的访问来源客户端Cookie信息。 |
Attack_Type | 防护状态 |
WAF对该访问请求的处理结果:
|
Status | 响应状态码 | WAF返回给客户端的响应状态信息。 |
Upstream_Status | 源站响应状态码 | 源站返回给WAF的响应状态。如果返回- ,表示没有响应,例如该请求被WAF拦截或源站响应超时。
|
Upstream_IP | 源站响应IP | 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。 |
Upstream_Time | 源站响应时间 | 源站响应WAF请求的时间。如果返回- ,表示响应超时。
|
在文档使用中是否遇到以下问题
更多建议
匿名提交