Web应用防火墙 WAF-开启全量日志:WAF攻击日志attack_log字段说明

时间：2023-11-01 16:19:17

Web应用防火墙 WAF

WAF攻击日志attack_log字段说明

字段	类型	字段说明	描述
category	string	日志分类	值为“attack”。
time	string	日志时间	-
time_iso8601	string	日志的ISO 8601格式时间	-
policy_id	string	防护策略ID	-
level	string	防护策略层级	表示Web基础防护策略级别。 1：宽松 2：中等 3：严格
attack	string	发生攻击的类型	发生攻击的类型，仅在攻击日志中出现。 default：默认 sqli：SQL注入攻击 xss：跨站脚本攻击 webshell：WebShell攻击 robot：恶意爬虫 cmdi：命令注入攻击 rfi：远程文件包含 lfi：本地文件包含 illegal：非法请求 vuln：漏洞攻击 cc：命中CC防护规则 custom_custom：命中精准防护规则 custom_whiteip：命中IP黑白名单规则 custom_geoip：命中地理位置控制规则 antitamper：命中网页防篡改规则 anticrawler：命中JS挑战反爬虫规则 leakage：命中敏感信息泄露规则 followed_action：攻击惩罚，详见配置攻击惩罚标准。
action	string	防护动作	WAF防护攻击动作。 block：拦截 log：仅记录 captcha：人机验证
sub_type	string	爬虫的子类型	当attack为robot时，该字段不为空。 script_tool：脚本工具 search_engine：搜索引擎 scaner：扫描工具 uncategorized：其他爬虫
rule	string	触发的规则ID或者自定义的策略类型描述	-
location	string	触发恶意负载的位置	-
hit_data	string	触发恶意负载的字符串	-
resp_headers	string	响应头	-
resp_body	string	响应体	-
backend	string	请求转发的后端服务器地址	-
status	string	请求的响应状态码	-
reqid	string	随机ID标识	-
id	string	攻击ID	攻击的ID标识。
method	string	请求方法	-
sip	string	客户端请求IP	-
sport	string	客户端请求端口	-
host	string	请求的服务器域名	-
http_host	string	请求的服务器域名	-
hport	string	请求的服务器端口	-
uri	string	请求URL	不包括域名。
header	json string，decode后为json table	请求header信息	-
multipart	json string，decode后为json table	请求multipart header	用于文件上传。
cookie	json string，decode后为json table	请求Cookie信息	-
params	json string，decode后为json table	请求URI后的参数信息	-
body_bytes_sent	string	发送给客户端的响应体字节数	WAF发送给客户端的响应体字节数。
upstream_response_time	string	后端服务器响应时间	-
process_time	string	引擎的检测用时	-
engine_id	string	引擎的唯一标识	-
group_id	string	日志组ID	对接LTS服务的日志组ID。
attack_stream_id	string	日志流ID	与“group_id”相关，是日志组下用户的 access_stream的ID。
hostid	string	防护域名ID（upstream_id）	-
tenantid	string	防护域名的租户ID	-
projectid	string	防护域名的项目ID	-