WAF日志字段说明
更新时间 2026-05-26 17:24:24
最近更新时间: 2026-05-26 17:24:24
本章节为您介绍WAF日志字段。
WAF日志字段
| 英文字段 | 中文字段 | 字段样例 | 数据类型 | 字段类型 | 是否为枚举字段 |
|---|---|---|---|---|---|
| tenant_id | 租户ID | 5cc1eb4ab1bb49ffb6f9e0821a339cf9 | 字符串 | 通用字段 | 否 |
| region_id | 资源池ID | - | 字符串 | 通用字段 | 否 |
| remote_addr | 客户端IP地址 | 139.100.157.16 | 字符串 | 通用字段 | 否 |
| remote_user | HTTP基础认证服务的用户名 | - | 字符串 | 通用字段 | 否 |
| timestamp | 服务器时间 | 2025/9/24 8:28 | 字符串 | 通用字段 | 否 |
| method | 请求方法 | GET | 字符串 | 通用字段 | 否 |
| path | 包含一些客户端请求参数的原始URI_PATH,不包含主机名和参数 | / | 字符串 | 通用字段 | 否 |
| protocol | HTTP请求协议 | HTTP/1.1 | 字符串 | 通用字段 | 否 |
| resp_code | HTTP响应代码 | 403 | 字符串 | 通用字段 | 否 |
| bytes_sent | 传输给客户端的字节数 | 9165 | 字符串 | 通用字段 | 否 |
| referer | 请求头中的referer字段,用来记录从哪个页面链接访问过来的 | - | 字符串 | 通用字段 | 否 |
| user_agent | 请求头中的user-agent字段,用户终端浏览器等信息 | curl/7.71.1 | 字符串 | 通用字段 | 否 |
| server_addr | 服务器地址 | 8.137.123.20 | 字符串 | 通用字段 | 否 |
| server_port | 服务器端口号 | 1000 | 字符串 | 通用字段 | 否 |
| host | 请求头中的host字段值,既域名:端口(80缺省) | 1021.yidaa.xyz:8080 | 字符串 | 通用字段 | 否 |
| request_time | 处理客户端请求使用的时间,单位为毫秒; 从读入客户端的第一个字节开始,直到把最后一个字符发送给客户端后进行日志写入为止。 | 0 | 字符串 | 通用字段 | 否 |
| policy_id | 策略ID | d5e5eb6084c34b6885abe7d0bca5327d | 字符串 | 通用字段 | 否 |
| attack_type | 攻击类型,详见攻击类型枚举字段表 | 0 | 字符串 | 通用字段 | 是 |
| severity | 威胁等级,详见威胁等级枚举字段表 | 3 | 字符串 | 通用字段 | 是 |
| action | 规则动作,详见规则动作枚举字段表 | 1 | 字符串 | 通用字段 | 是 |
| rule_id | 命中规则的ID | d662ad461719461c85c8ed100abc95f9 | 字符串 | 通用字段 | 否 |
| rule_name | 命中规则的名称 | GeneralRule.O3.1 | 字符串 | 通用字段 | 否 |
| rule_type | 规则类型,详见规则类型枚举字段表 | 1 | 字符串 | 通用字段 | 是 |
| unique_id | ID标识,随机生成的字符串 | 2a47b1962d0689046d2bd14d036e589d | 字符串 | 通用字段 | 否 |
| attack_area | 客户端IP所属地区,国家地区代码,详见代码对应表,用.号拼接国家和省份 | 86.51 | 字符串 | 通用字段 | 否 |
| attack_extra_data | 保留字段,例如统计cc攻击次数时需要用到此字段 | - | 字符串 | 通用字段 | 否 |
| remote_host | 域名 | 1021.yidaa.xyz | 字符串 | 通用字段 | 否 |
| config_domain | 接入配置的域名 | 1021.yidaa.xyz | 字符串 | 通用字段 | 否 |
| raw_header | 请求头 | GET /p%20=%201%20and%201%20=%201 HTTP/1.1\r\nHost: 1021.yidaa.xyz:8080\r\nUser-Agent: 9531\r\nConnection: close\r\nX-Real-IP: 139.100.157.16\r\n\r\n | 字符串 | 通用字段 | 否 |
| req_body | 请求体 | - | 字符串 | 通用字段 | 否 |
| resp_header | 响应头 | - | 字符串 | 通用字段 | 否 |
| resp_body | 响应体 | - | 字符串 | 通用字段 | 否 |
| payload | 攻击载荷 | p = 1 and 1 = 1 | 字符串 | 通用字段 | 否 |
| access_rule_id | 访问规则ID | 1a6da442a1844ac9ad1df5e57be9e339 | 字符串 | 通用字段 | 否 |
| scheme | 请求协议 | http | 字符串 | 通用字段 | 否 |
| request_port | 请求端口号 | 8080 | 字符串 | 通用字段 | 否 |
| remote_port | 客户端源端口号 | 39610 | 字符串 | 通用字段 | 否 |
| instance | 实例id | - | 字符串 | 通用字段 | 否 |
攻击类型字段枚举
| 攻击类型 | Code Name | 覆盖情况攻击类型 |
|---|---|---|
| SQL 注入 | SQL_INJECTION | - |
| XSS | XSS | - |
| 机器人请求 | BOT | - |
| 目录穿越 | PATH_TRAVERSAL | - |
| Java 代码执行 | JAVA_CODE_EXECUTION | 关键词规则 |
| PHP 代码执行 | PHP_CODE_EXECUTION | 关键词规则 |
| ASP 代码执行 | ASP_CODE_EXECUTION | 关键词规则 |
| 通用代码执行 | CODE_EXECUTION | - |
| Java 反序列化 | JAVA_UNSERIALIZE | - |
| PHP 反序列化 | PHP_UNSERIALIZE | - |
| 本地文件包含 | LOCAL_FILE_INCLUSION | - |
| 远程文件包含 | REMOTE_FILE_INCLUSION | - |
| 文件上传 | FILE_UPLOAD | 目前只有文件名检测 |
| CSRF | CSRF | - |
| SSRF | SSRF | - |
| 命令注入 | CMD_INJECTION | - |
| 信息泄露 | INFO_LEAK | - |
| 模板注入 | SSTI | - |
| XML 实体注入 | XXE | - |
| IP 黑名单 | IP_ACL | - |
| 地域黑名单 | GEO_ACL | - |
| CC 攻击 | CC | - |
| Cookie篡改 | COOKIE_TAMPER_ATTACK | - |
| Xpath 注入 | XPATH_INJECTION | - |
| 攻击惩罚 | ATTACK_PENALTY | - |
| LDAP注入 | LDAP_INJECTION | - |
| 自定义精准攻击 | CUSTOME_PRECISION_ATTCK | - |
| 未知攻击 | UNKNOWN | 64 位整数最高位用来表示未知攻击 |
威胁类型枚举
| 威胁等级 | Code Name | 对应原规则字段 |
|---|---|---|
| 无威胁 | NORMAL | NOTICE/INFO |
| 低危 | LOW | WARNING |
| 中危 | MEDIUM | ERROR |
| 高危 | HIGH | CRITICAL/ALERT/EMERGENCY |
规则动作枚举
| 动作 | Code Name |
|---|---|
| 观察 | dry_run |
| 拦截 | deny |
| 放行 | allow |
| 验证码 | captcha |
| JS 挑战 | js_challenge |
| 重定向 | redirect |
| 重置连接 | reset_connection |
| 全部脱敏(只用于响应信息检测与脱敏模块) | default_mask |
| 自定义脱敏(只用于响应信息检测与脱敏模块) | defined_mask |
| 动态拦截 | dynamic_deny |
| 限速 | speed_limitation |
规则类型枚举
| 规则类型 | Code Name | 对应产品模块 |
|---|---|---|
| 系统规则 | sys_rule | Web 基础防护模块 |
| CC 规则 | cc_rule | CC 防护模块 |
| BOT 规则 | bot_rule | BOT 防护模块 |
| 精准防护规则 | user_defined_rule | 精准防护模块 |
| IP 规则 | ip_rule | IP 防护模块 |
| 地域规则 | geo_rule | 地域防护模块 |
| 规则白名单 | sys_rule_whitelist | Web 基础防护模块系统规则白名单 |
| 响应信息检测规则 | response_rule | 响应信息检测与脱敏模块 |
| QPS超限规则 | qps_exceeded | 访问控制模块 |
| 带宽超限规则 | bandwidth_exceeded | 访问控制模块 |
| Cookie 防篡改 | cookie_tamper_proof | Cookie 防篡改模块 |
| 隐私屏蔽 | privacy_mask | 隐私屏蔽模块 |
| 防护白名单规则 | protection_white | 防护白名单 |
| 攻击惩罚规则 | attack_penalty | 攻击惩罚 |
| 增强BOT规则 | enhance_bot_rule | BOT防护模块 |
| 全局IP黑白名单规则 | global_ip_rule | 全局IP黑白名单模块 |
| 全局防护白名单规则 | global_protection_white | 全局防护白名单模块 |
| 全局精准防护规则 | global_user_defined_rule | 全局精准防护模块 |
