安全云脑 SecMaster-日志字段含义:sec-waf-attack

时间：2025-02-12 15:12:10

安全云脑 SecMaster

sec-waf-attack

WAF攻击日志字段含义如下所示：

表2 sec-waf-attack
字段		类型	字段含义
category		String	分类，此处值为“attack”。
time		Date	标识日志时间。
time_iso8601		Date	标识日志的 ISO 8601 格式时间。
policy_id		String	标识防护策略ID。
level		Integer	标识防护策略层级（1为宽松，2为中等，3为严格）。
attack		String	标识攻击类型。攻击类型的解释为： default：默认 xss：跨站脚本攻击 sqli：SQL注入攻击 cmdi：命令注入攻击 lfi：本地文件包含 rfi：远程文件包含 webshell：WebShell攻击 robot：爬虫攻击（根据UA黑名单拦截） vuln：漏洞攻击 cc：命中CC规则 custom_custom：命中精准防护规则 custom_whiteip：命中白名单规则 custom_geoip：命中地理位置规则 illegal：非法请求 anticrawler：命中反爬虫规则（JS挑战） antitamper：命中防篡改规则 leakage：命中隐私泄露规则 followed_action：攻击惩罚 trojan：网站木马
action		String	标识处理动作。处理动作的解释为： block：拦截 log：仅记录 captcha：人机验证
rule		String	标识触发的规则ID或者自定义的策略类型描述。
sub_type		String	当attack为robot时，该字段不为空。标识爬虫的子类型。 script_tool：脚本工具 search_engine：搜索引擎 scaner：扫描工具 uncategorized：其他爬虫
location		String	标识触发的payload的位置。
resp_headers		String	标识响应头。
resp_body		String	标识响应体。
hit_data		String	标识触发的payload字符串。
status		String	标识请求的响应状态码。
reqid		String	随机ID标识。
id		String	攻击 ID。
method		String	标识请求方法。
sip		String	标识客户端请求IP。
sport		String	标识客户端请求端口。
host		String	标识请求的服务器域名。
http_host		String	标识请求的服务器端口。
uri		String	标识请求URL。
header		String	标识请求header信息。
mutipart		String	标识请求multipart header（文件上传场景）。
cookie		String	标识请求cookie信息。
params		String	标识请求URI后的参数信息。
body_bytes_sent		String	标识发送给客户端的响应体字节数。
upstream_response_time		String	标识后端服务器响应时间。
process_time		String	标识引擎的检测用时。
engine_id		String	标识引擎的唯一标识。
group_id		String	用于对接LTS服务的日志组ID。
attack_stream_id		String	与group_id相关，是日志组下用户的access_stream的ID。
hostid		String	标识防护域名 ID。
tenantid		String	标识防护域名的租户 ID。
projectid		String	标识防护域名的项目 ID。
backend		Object	标识请求转发的后端服务器地址。
backend	type	String	标识当前后端 Host 类型（IP或域名）。
	alive	String	标识当前后端状态。
	host	String	标识当前后端 Host 值。
	protocol	String	标识当前后端协议。
	port	Integer	标识当前后端端口。