对接云日志管理服务
更新时间 2026-05-27 17:54:42
最近更新时间: 2026-05-27 17:54:42
本章节为您介绍如何对接天翼云云日志管理服务
Web应用防火墙(原生版)已对接云日志服务,目前需手动配置开启,需提交工单申请。
约束限制
云日志服务中对应的存储容量若已满,WAF不会删除旧日志,需要您手动及时扩容,否则无法存入新的日志。
使用过程中,请不要删除对应,若删除会导致推送至云日志服务的日志丢失,且无法找回。
目前仅支持转存至华东1资源池的云日志服务。
开启步骤
1.在天翼云官网购买云日志服务。
2.在管理控制台提交工单,联系天翼云技术支持为您手动对接云日志服务,请参照下表中的内容提前准备相关信息。
| 参数 | 字段说明 |
|---|---|
| 用户id | 用户唯一身份标识,可在统一身份认证控制台查看。 |
| AK/SK | 访问云资源时的身份凭证,如何获取请参考:如何获取AK/SK? |
| 日志项目(可选) | 在云日志服务中创建的日志项目,可参考:管理日志项目。 不可选择默认项目:waf-project。 |
| 日志项目ID(可选) | 提供日志项目对应的日志项目ID,可在云日志服务控制台查看。 |
| 日志单元(可选) | 在云日志服务中创建的日志单元,可参考:管理日志单元。 不可选择默认单元:waf-attack-unit |
| 日志单元ID(可选) | 提供日志单元对应的日志单元ID,可在云日志服务控制台查看。 |
| 上传域名(可选) | 提供需要上传日志至云日志服务的域名,若不提供则上传对应用户下的所有防护域名。 |
| 攻击类型(可选) | 提供需要上传的防护事件类型,若不提供默认上传所有防护事件类型。 防护事件目前可选择:核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 |
3.待处理完成后,即可在云日志服务控制台查看日志信息,下表为日志字段说明。
| 英文字段 | 中文字段 | 是否创建索引 | 字段样例 | 数据类型 | 是否为枚举字段 | 备注 |
|---|---|---|---|---|---|---|
| tenant_id | 租户ID | 是 | 5cc1eb4ab1bb49ffb6f9e0821a339cf9 | 字符串 | 否 | - |
| region_id | 资源池ID | 是 | - | 字符串 | 否 | - |
| remote_addr | 客户端IP地址 | 是 | 139.100.157.16 | 字符串 | 否 | - |
| remote_user | HTTP基础认证服务的用户名 | 是 | - | 字符串 | 否 | - |
| timestamp | 服务器时间 | 否 | ####### | 字符串 | 否 | - |
| method | 请求方法 | 是 | GET | 字符串 | 否 | - |
| path | 包含一些客户端请求参数的原始URI_PATH,不包含主机名和参数 | 是 | / | 字符串 | 否 | - |
| protocol | HTTP请求协议 | 是 | HTTP/1.1 | 字符串 | 否 | - |
| resp_code | HTTP响应代码 | 是 | 403 | 数值 | 否 | - |
| bytes_sent | 传输给客户端的字节数 | 否 | 9165 | 数值 | 否 | - |
| referer | 请求头中的referer字段,用来记录从哪个页面链接访问过来的 | 是 | - | 字符串 | 否 | - |
| user_agent | 请求头中的user-agent字段,用户终端浏览器等信息 | 是 | curl/7.71.1 | 字符串 | 否 | - |
| balancer_addr | 回源地址 | 是 | 172.17.0.3 | 字符串 | 否 | - |
| balancer_port | 回源端口号 | 是 | 80 | 数值 | 否 | - |
| host | 请求头中的host字段值,既域名:端口(80缺省) | 是 | 1021.yidaa.xyz:8080 | 字符串 | 否 | - |
| request_time | 处理客户端请求使用的时间,单位为毫秒; 从读入客户端的第一个字节开始,直到把最后一个字符发送给客户端后进行日志写入为止。 | 否 | 123 | 数值 | 否 | - |
| policy_id | 策略ID | 是 | d5e5eb6084c34b6885abe7d0bca5327d | 字符串 | 否 | - |
| unique_id | ID标识,随机生成的字符串 | 是 | 2a47b1962d0689046d2bd14d036e589d | 字符串 | 否 | - |
| remote_host | 域名 | 是 | 1021.yidaa.xyz | 字符串 | 否 | - |
| config_domain | 接入配置的域名 | 是 | 1021.yidaa.xyz | 字符串 | 否 | - |
| access_id | 访问规则ID | 是 | 1000 | 字符串 | 否 | - |
| scheme | 请求协议 | 是 | http | 字符串 | 否 | - |
| server_port | 请求端口号 | 是 | 80 | 数值 | 否 | - |
| instance_id | 实例ID | 是 | 字符串 | 否 | - | |
| content_type | 被请求的内容类型。 | 是 | application/x-www-form-urlencoded | 字符串 | 否 | - |
| http_cookie | 客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 | 否 | k1=v1;k2=v2 | 字符串 | 否 | - |
| http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 | 是 | 47.100.XX.XX | 字符串 | 否 | - |
| socket_ip | 请求的客户端IP。 如果在WAF前部署了7层代理,本字段表示最靠近WAF的代理节点的IP地址。此时,真实访问者IP参考“x-forwarded-for”,“x_real_ip”字段。 | 是 | 192.0.XX.XX | 字符串 | 否 | - |
| remote_port | 与WAF直接建立连接的端口。 如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如CDN),该字段表示WAF的上一级代理的端口。 | 是 | 80 | 数值 | 否 | 当前攻击日志中已经包含 |
| area | 客户端IP所属地区,国家地区代码,详见代码对应表,用.号拼接国家和省份 | 是 | 86.51 | 字符串 | 是 | 目前攻击日志中已经包含,本次只需要在访问日志中添加。枚举字段,请查看对应的Sheet页面。 |
| ssl_cipher | 客户端请求使用的加密套件。 | 是 | ECDHE-RSA-AES128-GCM-SHA256 | 字符串 | 否 | - |
| ssl_protocol | 客户端请求使用的SSL/TLS协议和版本。 | 是 | TLSv1.2 | 字符串 | 否 | - |
| resp_body_bytes | 服务端返回给客户端的响应体的字节数(不含响应头)。单位:Byte。 | 否 | 1111 | 数值 | 否 | - |
| query | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 | 是 | 字符串 | 否 | - | |
| transfer_encoding | 用于指示在传输响应正文时所采用的传输编码方式 | 是 | gzip | 字符串 | 否 | 常见取值包括: chunked:分块传输编码 gzip:LZ77 压缩 + CRC 校验 deflate:zlib 封装的 DEFLATE 压缩 compress:LZW 压缩(已很少使用) identity:无编码(原始数据) |
| is_attack | 标识本条日志是否为攻击日志 | 是 | false或者true | 字符串 | 否 | 如果值为false,有内容的为绿色+黄色部分的字段;如果值为true,有内容的为绿色+粉色部分的字段。 |
| connect_count | 当前access_rule对应的实时回源并发连接数 | 否 | 0 | 数值 | 否 | - |
| connect_time | 请求回源时与源站握手的时间(包含tls握手),单位ms | 否 | 3 | 字符串 | 否 | - |
| header_time | 请求收到源站响应头的时间(包含握手时间),单位ms | 否 | 1 | 字符串 | 否 | - |
| response_time | 请求回源响应时间,单位ms | 否 | d662ad461719461c85c8ed100abc95f9 | 字符串 | 否 | - |
| attack_type | 攻击类型,详见攻击类型枚举字段表 | 是 | 0 | 数值 | 是 | 枚举字段,请查看对应的Sheet页面。 |
| severity | 威胁等级,详见威胁等级枚举字段表 | 是 | 3 | 数值 | 是 | 枚举字段,请查看对应的Sheet页面。 |
| action | 规则动作,详见规则动作枚举字段表 | 是 | 1 | 数值 | 是 | 枚举字段,请查看对应的Sheet页面。 |
| rule_id | 命中规则的ID | 是 | d662ad461719461c85c8ed100abc95f9 | 字符串 | 否 | - |
| rule_name | 命中规则的名称 | 是 | GeneralRule.O3.1 | 字符串 | 否 | - |
| rule_type | 规则类型,详见规则类型枚举字段表 | 是 | 1 | 数值 | 是 | 枚举字段,请查看对应的Sheet页面。 |
| raw_header | 请求头 | 否 | GET /p%20=%201%20and%201%20=%201 HTTP/1.1\r\nHost: 1021.yidaa.xyz:8080\r\nUser-Agent: 9531\r\nConnection: close\r\nX-Real-IP: 139.100.157.16\r\n\r\n | 字符串 | 否 | - |
| req_body | 请求体 | 否 | - | 字符串 | 否 | - |
| resp_header | 响应头 | 否 | - | 字符串 | 否 | - |
| resp_body | 响应体 | 否 | - | 字符串 | 否 | - |
| payload | 攻击载荷 | 是 | p = 1 and 1 = 1 | 字符串 | 否 | - |