WAF日志字段说明
更新时间 2026-06-10 16:19:40
最近更新时间: 2026-06-10 16:19:40
本章节为您介绍WAF日志字段。
WAF日志字段
| 英文字段 | 中文字段 | 是否创建索引 | 字段样例 | 数据类型 | 是否为枚举字段 | 备注 |
|---|---|---|---|---|---|---|
| tenant_id | 租户ID | 是 | 5cc1eb4ab1bb49ffb6f9e0821a339cf9 | 字符串 | 否 | - |
| region_id | 资源池ID | 是 | - | 字符串 | 否 | - |
| remote_addr | 客户端IP地址 | 是 | 139.100.157.16 | 字符串 | 否 | - |
| remote_user | HTTP基础认证服务的用户名 | 是 | - | 字符串 | 否 | - |
| timestamp | 服务器时间 | 否 | ##### | 字符串 | 否 | - |
| method | 请求方法 | 是 | GET | 字符串 | 否 | - |
| path | 包含一些客户端请求参数的原始URI_PATH,不包含主机名和参数 | 是 | / | 字符串 | 否 | - |
| protocol | HTTP请求协议 | 是 | HTTP/1.1 | 字符串 | 否 | - |
| resp_code | HTTP响应代码 | 是 | 403 | 字符串 | 否 | - |
| bytes_sent | 传输给客户端的字节数 | 否 | 9165 | 数值 | 否 | - |
| referer | 请求头中的referer字段,用来记录从哪个页面链接访问过来的 | 是 | - | 字符串 | 否 | - |
| user_agent | 请求头中的user-agent字段,用户终端浏览器等信息 | 是 | curl/7.71.1 | 字符串 | 否 | - |
| balancer_addr | 回源地址 | 是 | 172.17.0.3 | 字符串 | 否 | - |
| balancer_port | 回源端口号 | 是 | 80 | 字符串 | 否 | - |
| host | 请求头中的host字段值,既域名:端口(80缺省) | 是 | 1021.yidaa.xyz:8080 | 字符串 | 否 | - |
| request_time | 处理客户端请求使用的时间,单位为毫秒; 从读入客户端的第一个字节开始,直到把最后一个字符发送给客户端后进行日志写入为止。 客户端请求到返回结果的请求耗时,即从客户端-WAF-源站再从源站-WAF-客户端整个时长 | 否 | 123 | 数值 | 否 | - |
| policy_id | 策略ID | 是 | d5e5eb6084c34b6885abe7d0bca5327d | 字符串 | 否 | - |
| unique_id | ID标识,随机生成的字符串 | 是 | 2a47b1962d0689046d2bd14d036e589d | 字符串 | 否 | - |
| remote_host | 域名 | 是 | 1021.yidaa.xyz | 字符串 | 否 | - |
| config_domain | 接入配置的域名 | 是 | 1021.yidaa.xyz | 字符串 | 否 | - |
| access_id | 访问规则ID | 是 | 1000 | 字符串 | 否 | - |
| scheme | 请求协议 | 是 | http | 字符串 | 否 | - |
| server_port | 请求端口号 | 是 | 80 | 字符串 | 否 | - |
| instance_id | 实例ID | 是 | 字符串 | 否 | - | |
| content_type | 被请求的内容类型。 | 是 | application/x-www-form-urlencoded | 字符串 | 否 | - |
| http_cookie | 客户端请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 | 否 | k1=v1;k2=v2 | 字符串 | 否 | - |
| http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 | 是 | 47.100.XX.XX | 字符串 | 否 | - |
| socket_ip | 请求的客户端IP。 如果在WAF前部署了7层代理,本字段表示最靠近WAF的代理节点的IP地址。此时,真实访问者IP参考“x-forwarded-for”,“x_real_ip”字段。 | 是 | 192.0.XX.XX | 字符串 | 否 | - |
| remote_port | 与WAF直接建立连接的端口。 如果WAF与客户端直接连接,该字段等同于客户端端口;如果WAF前面还有其他七层代理(例如CDN),该字段表示WAF的上一级代理的端口。 | 是 | 80 | 字符串 | 否 | 当前攻击日志中已经包含 |
| area | 客户端IP所属地区,国家地区代码,详见代码对应表,用.号拼接国家和省份 | 是 | 86.51 | 字符串 | 是 | 目前攻击日志中已经包含,本次只需要在访问日志中添加。枚举字段,请查看对应的Sheet页面。 |
| ssl_cipher | 客户端请求使用的加密套件。 | 是 | ECDHE-RSA-AES128-GCM-SHA256 | 字符串 | 否 | - |
| ssl_protocol | 客户端请求使用的SSL/TLS协议和版本。 | 是 | TLSv1.2 | 字符串 | 否 | - |
| resp_body_bytes | 服务端返回给客户端的响应体的字节数(不含响应头)。单位:Byte。 | 否 | 1111 | 数值 | 否 | - |
| query | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 | 是 | - | 字符串 | 否 | - |
| transfer_encoding | 用于指示在传输响应正文时所采用的传输编码方式 | 是 | gzip | 字符串 | 否 | 常见取值包括: chunked:分块传输编码 gzip:LZ77 压缩 + CRC 校验 deflate:zlib 封装的 DEFLATE 压缩 compress:LZW 压缩(已很少使用) identity:无编码(原始数据) |
| is_attack | 标识本条日志是否为攻击日志 | 是 | false或者true | 字符串 | 否 | 如果值为false,有内容的为绿色+黄色部分的字段;如果值为true,有内容的为绿色+粉色部分的字段。 |
| connect_count | 当前access_rule对应的实时回源并发连接数 | 否 | 0 | 数值 | 否 | - |
| connect_time | 请求回源时与源站握手的时间(包含tls握手),单位ms | 否 | 3 | 字符串 | 否 | - |
| header_time | 请求收到源站响应头的时间(包含握手时间),单位ms | 否 | 1 | 字符串 | 否 | - |
| response_time | 请求回源响应时间,单位ms。即从WAF-源站再从源站-WAF的时间。 | 否 | d662ad461719461c85c8ed100abc95f9 | 字符串 | 否 | - |
| attack_type | 攻击类型,详见攻击类型枚举字段表 | 是 | 0 | 字符串 | 是 | 枚举字段,请查看下文对应的表格。 |
| severity | 威胁等级,详见威胁等级枚举字段表 | 是 | 3 | 字符串 | 是 | 枚举字段,请查看下文对应的表格。 |
| action | 规则动作,详见规则动作枚举字段表 | 是 | 1 | 字符串 | 是 | 枚举字段,请查看下文对应的表格。 |
| rule_id | 命中规则的ID | 是 | d662ad461719461c85c8ed100abc95f9 | 字符串 | 否 | - |
| rule_name | 命中规则的名称 | 是 | GeneralRule.O3.1 | 字符串 | 否 | - |
| rule_type | 规则类型,详见规则类型枚举字段表 | 是 | 1 | 字符串 | 是 | 枚举字段,请查看下文对应的表格。 |
| raw_header | 请求头 | 否 | GET /p%20=%201%20and%201%20=%201 HTTP/1.1\r\nHost: 1021.yidaa.xyz:8080\r\nUser-Agent: 9531\r\nConnection: close\r\nX-Real-IP: 139.100.157.16\r\n\r\n | 字符串 | 否 | - |
| req_body | 请求体 | 否 | - | 字符串 | 否 | - |
| resp_header | 响应头 | 否 | - | 字符串 | 否 | - |
| resp_body | 响应体 | 否 | - | 字符串 | 否 | - |
| payload | 攻击载荷 | 是 | p = 1 and 1 = 1 | 字符串 | 否 | - |
攻击类型字段枚举
| 攻击类型 | Code Name | 常量值 | 前端涉及模块 | 备注 |
|---|---|---|---|---|
| SQL 注入 | SQL_INJECTION | 0 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| XSS | XSS | 1 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 机器人请求 | BOT | 2 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 目录穿越 | PATH_TRAVERSAL | 3 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| Java 代码执行 | JAVA_CODE_EXECUTION | 4 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 关键词规则 |
| PHP 代码执行 | PHP_CODE_EXECUTION | 5 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 关键词规则 |
| ASP 代码执行 | ASP_CODE_EXECUTION | 6 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 关键词规则 |
| 通用代码执行 | CODE_EXECUTION | 7 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| Java 反序列化 | JAVA_UNSERIALIZE | 8 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| PHP 反序列化 | PHP_UNSERIALIZE | 9 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 本地文件包含 | LOCAL_FILE_INCLUSION | 10 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 远程文件包含 | REMOTE_FILE_INCLUSION | 11 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 文件上传 | FILE_UPLOAD | 12 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 目前只有文件名检测 |
| CSRF | CSRF | 13 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| SSRF | SSRF | 14 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 命令注入 | CMD_INJECTION | 15 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 信息泄露 | INFO_LEAK | 16 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 模板注入 | SSTI | 17 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| XML 实体注入 | XXE | 18 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| IP 黑名单 | IP_ACL | 19 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 地域黑名单 | GEO_ACL | 20 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| CC 攻击 | CC | 21 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| Cookie篡改 | COOKIE_TAMPER_ATTACK | 22 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 | - |
| Xpath 注入 | XPATH_INJECTION | 23 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 前端暂未支持 |
| 攻击惩罚 | ATTACK_PENALTY | 24 | 一期仅支持BOT和精准防护联动 | |
| LDAP注入 | LDAP_INJECTION | 25 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 自定义精准攻击 | CUSTOME_PRECISION_ATTCK | 62 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | - |
| 未知攻击 | UNKNOWN | 63 | 防护事件->筛选条件->攻击类型 告警通知->新增通知策略->事件类型->自定义 新建规则白名单->不检查测项->特定规则类型 | 64 位整数最高位用来表示未知攻击 |
威胁类型枚举
| 威胁等级 | Code Name | 对应原规则字段 | 常量值 |
|---|---|---|---|
| 无威胁 | NORMAL | NOTICE/INFO | 0 |
| 低危 | LOW | WARNING | 1 |
| 中危 | MEDIUM | ERROR | 2 |
| 高危 | HIGH | CRITICAL/ALERT/EMERGENCY | 3 |
规则动作枚举
| 动作 | Code Name | 常量值 | 说明 |
|---|---|---|---|
| 观察 | dry_run | 0 | - |
| 拦截 | deny | 1 | - |
| 放行 | allow | 2 | - |
| 验证码 | captcha | 3 | - |
| JS 挑战 | js_challenge | 4 | - |
| 重定向 | redirect | 5 | - |
| 重置连接 | reset_connection | 6 | - |
| 全部脱敏(只用于响应信息检测与脱敏模块) | default_mask | 7 | - |
| 自定义脱敏(只用于响应信息检测与脱敏模块) | defined_mask | 8 | - |
| 动态拦截 | dynamic_deny | 9 | 自定义BOT统计规则新增动作 |
规则类型枚举
| 规则类型 | Code Name | 常量值 | 对应产品模块 |
|---|---|---|---|
| Web核心防护 | sys_rule | 1 | Web核心防护模块 |
| CC 规则 | cc_rule | 2 | CC 防护模块 |
| BOT 规则 | bot_rule | 3 | BOT 防护模块 |
| 精准防护规则 | user_defined_rule | 4 | 精准防护模块 |
| IP 规则 | ip_rule | 5 | IP 防护模块 |
| 地域规则 | geo_rule | 6 | 地域防护模块 |
| 规则白名单 | sys_rule_whitelist | 7 | Web核心防护模块系统规则白名单 |
| 响应信息检测规则 | response_rule | 8 | 响应信息检测与脱敏模块 |
| QPS超限规则 | qps_exceeded | 9 | 访问控制模块 |
| 带宽超限规则 | bandwidth_exceeded | 10 | 访问控制模块 |
| Cookie 防篡改 | cookie_tamper_proof | 11 | Cookie 防篡改模块 |
| 隐私屏蔽 | privacy_mask | 12 | 隐私屏蔽模块 |
| 防护白名单规则 | protection_white | 13 | 防护白名单 |
| 攻击惩罚规则 | attack_penalty | 14 | 攻击惩罚 |
| 增强BOT规则 | enhance_bot_rule | 15 | BOT防护模块 |
| 全局IP黑白名单规则 | global_ip_rule | 16 | 全局IP黑白名单模块 |
| 全局防护白名单规则 | global_protection_white | 17 | 全局防护白名单模块 |