对接云日志管理服务
更新时间 2026-05-26 10:06:10
最近更新时间: 2026-05-26 10:06:10
本章节为您介绍如何对接天翼云云日志管理服务
Web应用防火墙(原生版)已对接云日志服务,目前需手动配置开启,需提交工单申请。
约束限制
云日志服务中对应的存储容量若已满,WAF不会删除旧日志,需要您手动及时扩容,否则无法存入新的日志。
使用过程中,请不要删除对应,若删除会导致推送至云日志服务的日志丢失,且无法找回。
目前仅支持转存至华东1资源池的云日志服务。
开启步骤
1.在天翼云官网购买云日志服务。
2.在管理控制台提交工单,联系天翼云技术支持为您手动对接云日志服务,请参照下表中的内容提前准备相关信息。
| 参数 | 字段说明 |
|---|---|
| 用户id | 用户唯一身份标识,可在统一身份认证控制台查看。 |
| AK/SK | 访问云资源时的身份凭证,如何获取请参考:如何获取AK/SK? |
| 日志项目(可选) | 在云日志服务中创建的日志项目,可参考:管理日志项目。 不可选择默认项目:waf-project。 |
| 日志项目ID(可选) | 提供日志项目对应的日志项目ID,可在云日志服务控制台查看。 |
| 日志单元(可选) | 在云日志服务中创建的日志单元,可参考:管理日志单元。 不可选择默认单元:waf-attack-unit |
| 日志单元ID(可选) | 提供日志单元对应的日志单元ID,可在云日志服务控制台查看。 |
| 上传域名(可选) | 提供需要上传日志至云日志服务的域名,若不提供则上传对应用户下的所有防护域名。 |
| 攻击类型(可选) | 提供需要上传的防护事件类型,若不提供默认上传所有防护事件类型。 防护事件目前可选择:核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。 |
3.待处理完成后,即可在云日志服务控制台查看日志信息,下表为日志字段说明。
| 英文字段 | 中文字段 | 字段样例 | 数据类型 | 字段类型 | 是否为枚举字段 |
|---|---|---|---|---|---|
| tenant_id | 租户ID | 5cc1eb4ab1bb49ffb6f9e0821a339cf9 | 字符串 | 通用字段 | 否 |
| region_id | 资源池ID | - | 字符串 | 通用字段 | 否 |
| remote_addr | 客户端IP地址 | 139.100.157.16 | 字符串 | 通用字段 | 否 |
| remote_user | HTTP基础认证服务的用户名 | - | 字符串 | 通用字段 | 否 |
| timestamp | 服务器时间 | 2025/9/24 8:28 | 字符串 | 通用字段 | 否 |
| method | 请求方法 | GET | 字符串 | 通用字段 | 否 |
| path | 包含一些客户端请求参数的原始URI_PATH,不包含主机名和参数 | / | 字符串 | 通用字段 | 否 |
| protocol | HTTP请求协议 | HTTP/1.1 | 字符串 | 通用字段 | 否 |
| resp_code | HTTP响应代码 | 403 | 字符串 | 通用字段 | 否 |
| bytes_sent | 传输给客户端的字节数 | 9165 | 字符串 | 通用字段 | 否 |
| referer | 请求头中的referer字段,用来记录从哪个页面链接访问过来的 | - | 字符串 | 通用字段 | 否 |
| user_agent | 请求头中的user-agent字段,用户终端浏览器等信息 | curl/7.71.1 | 字符串 | 通用字段 | 否 |
| server_addr | 服务器地址 | 8.137.123.20 | 字符串 | 通用字段 | 否 |
| server_port | 服务器端口号 | 1000 | 字符串 | 通用字段 | 否 |
| host | 请求头中的host字段值,既域名:端口(80缺省) | 1021.yidaa.xyz:8080 | 字符串 | 通用字段 | 否 |
| request_time | 处理客户端请求使用的时间,单位为毫秒; 从读入客户端的第一个字节开始,直到把最后一个字符发送给客户端后进行日志写入为止。 | 0 | 字符串 | 通用字段 | 否 |
| policy_id | 策略ID | d5e5eb6084c34b6885abe7d0bca5327d | 字符串 | 通用字段 | 否 |
| attack_type | 攻击类型,详见攻击类型枚举字段表 | 0 | 字符串 | 通用字段 | 是 |
| severity | 威胁等级,详见威胁等级枚举字段表 | 3 | 字符串 | 通用字段 | 是 |
| action | 规则动作,详见规则动作枚举字段表 | 1 | 字符串 | 通用字段 | 是 |
| rule_id | 命中规则的ID | d662ad461719461c85c8ed100abc95f9 | 字符串 | 通用字段 | 否 |
| rule_name | 命中规则的名称 | GeneralRule.O3.1 | 字符串 | 通用字段 | 否 |
| rule_type | 规则类型,详见规则类型枚举字段表 | 1 | 字符串 | 通用字段 | 是 |
| unique_id | ID标识,随机生成的字符串 | 2a47b1962d0689046d2bd14d036e589d | 字符串 | 通用字段 | 否 |
| attack_area | 客户端IP所属地区,国家地区代码,详见代码对应表,用.号拼接国家和省份 | 86.51 | 字符串 | 通用字段 | 否 |
| attack_extra_data | 保留字段,例如统计cc攻击次数时需要用到此字段 | - | 字符串 | 通用字段 | 否 |
| remote_host | 域名 | 1021.yidaa.xyz | 字符串 | 通用字段 | 否 |
| config_domain | 接入配置的域名 | 1021.yidaa.xyz | 字符串 | 通用字段 | 否 |
| raw_header | 请求头 | GET /p%20=%201%20and%201%20=%201 HTTP/1.1\r\nHost: 1021.yidaa.xyz:8080\r\nUser-Agent: 9531\r\nConnection: close\r\nX-Real-IP: 139.100.157.16\r\n\r\n | 字符串 | 通用字段 | 否 |
| req_body | 请求体 | - | 字符串 | 通用字段 | 否 |
| resp_header | 响应头 | - | 字符串 | 通用字段 | 否 |
| resp_body | 响应体 | - | 字符串 | 通用字段 | 否 |
| payload | 攻击载荷 | p = 1 and 1 = 1 | 字符串 | 通用字段 | 否 |
| access_rule_id | 访问规则ID | 1a6da442a1844ac9ad1df5e57be9e339 | 字符串 | 通用字段 | 否 |
| scheme | 请求协议 | http | 字符串 | 通用字段 | 否 |
| request_port | 请求端口号 | 8080 | 字符串 | 通用字段 | 否 |
| remote_port | 客户端源端口号 | 39610 | 字符串 | 通用字段 | 否 |
| instance | 实例id | - | 字符串 | 通用字段 | 否 |
