访问日志

最后更新时间:2020-04-10 11:15:38

    功能简介

    访问日志功能用于记录 Web 应用防火墙防护域名的访问日志信息,提供防御域名最近30天访问日志查询和下载功能,及不少180天的访问日志存储服务。启用访问日志功能后,您可以根据需要查询和下载访问日志,满足安全合规、安全运维等需求。

    使用访问日志功能,需要先 购买安全日志服务包,并且根据 使用说明 启用访问日志开关。只有开启访问日志开关的域名,Web 应用防火墙才会记录该域名的访问日志。

    使用说明

    启用访问日志

    登录 Web 应用防火墙控制台,在左侧导航栏中,选择【Web 应用防火墙】>【防护设置】,进入防护设置页面,选择域名,单击开启访问日志开关。

    查询访问日志

    1. 登录 Web 应用防火墙控制台,在左侧导航栏单击【安全概览】,进入安全概览页面,选择【访问日志】>【日志查询】,选择域名,查看对应域名的访问日志信息。
    2. 您可以单击上图中,右上角的设置按钮 ,在弹出的“自定义列表字段”页面中,选择您想显示的列表详细信息。如下图所示:
    3. 查询访问日志。查询功能支持多关键字组合搜索,输入对应日志字段的关键字后,单击回车键进行分隔,单击【查询】进行日志搜索。
      • 访问日志检索支持键值 kv 检索,其中指定 key 为7个,value 值按照分词符(默认分词符为:!@#%^&*()-_="', <>/?|;:\n\t\r[]{})将日志数据切分成多个关键词,方便用户检索,关键词不区分大小写。
      • 模糊关键字搜索,访问日志支持模糊查询能力,通过特殊的模糊关键字进行日志检索,具体说明如下:
    元字符 描述
    * 模糊查询关键字,匹配零个、单个或多个任意字符。例如,输入abc*,会返回以abc开头的所有命中日志,不支持*开头。
    ? 模糊查询关键字,特定位置匹配单个字符。例如,输入ab?c,会返回以ab为开头,以c为结尾字符,且两者之间且有一个字符。

    日志查询字段说明:

    字段名称 字段说明
    访问源 IP 客户端请求的源 IP。
    访问 URI 客户端访问的 URI。
    Referer 客户端向服务器表明访问请求的来源 URL 信息。
    Cookie 客户端访问服务器所携带的 Cookie 信息。
    User-Agent 客户端向服务器表明自己的浏览器类型和操作系统标识等信息。
    X-Forworder-For 客户端访问服务时,用来识别通过 HTTP 代理或负载均衡方式连接到 Web 服务器的客户端最原始的 IP 地址。
    WAF 响应码 Web 应用防火墙返回给客户端的响应状态码。
    源站响应码 源站返回给 Web 应用防火墙的响应状态码。
    Body 客户端访问服务器请求所携带的 Body 信息。

    下载访问日志

    1. 登录 Web 应用防火墙控制台,在左侧导航栏单击【安全概览】,进入安全概览页面,选择【访问日志】>【日志查询】,单击右上方的下载图标,创建下载任务。
    • 同一时间段内只允许创建一个下载任务,请耐心等待。
    • 单次最多支持下载1万条日志,如果您需要下载的日志超过1万条,建议您分多次任务进行下载,或 联系我们 为您提供支持服务。
    • 当选择泛域名(如:*.abc.com)时,所有关联子域名(如以.abc.com结尾)的日志也将会被下载。
    1. 单击【查询下载任务】,选择下载任务,单击【下载】,将日志文件下载到本地。

      日志文件字段说明如下:
    下载字段 字段描述
    time 访问时间。
    host 客户端请求域名。
    client 客户端来源 IP。
    ipinfo_nation 客户端来源 IP 的国家信息。
    ipinfo_province 客户端来源 IP 的省份信息。
    schema 客户端请求协议。
    method 客户端请求方法。
    url 客户端完整请求路径中,域名后第一个“/”到“?”之间的内容。
    query 也称为 query string,客户端完整请求路径中“?”之后的内容。
    cookie 客户端访问服务器所携带的 Cookie 信息。
    referer 客户端向服务器表明访问请求的来源 URL 信息。
    user-agent 客户端向服务器表明自己的浏览器类型和操作系统标识等信息。
    x-forwarded-for 客户端访问服务器时,用来识别通过 HTTP 代理或负载均衡方式,连接到 Web 服务器的客户端最原始的 IP 地址。
    status Web 应用防火墙返回给客户端的响应状态码。
    upstream_status 源站返回给 Web 应用防火墙的响应状态码。
    upstream 客户端请求经过 Web 应用防火墙之后的回源 IP 和端口。
    upstream_connect_time 客户端请求从 Web 应用防火墙到源站需要的时间。
    upstream_response_time 客户端请求从源站返回到 Web 应用防火墙需要的时间。
    request_time 客户端请求达到 Web 应用防火墙和从 Web 应用防火墙返回需要的时间。