功能简介
日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供两个月内的访问日志和Web攻击日志。
创建日志任务
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【日志与数据分析】—【数据分析】,进入【日志分析】菜单。
- 单击页面左上角【新建日志任务】按钮。
- 配置完成后,单击【确定】,保存日志任务。
配置项说明
配置项 |
说明 |
任务名称 |
配置任务的名称,支持中英文、数字、最长30个字符。 |
日志类型 |
配置需要创建的日志类型,支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 |
关联域名 |
配置日志任务的域名,默认为全部域名。 |
实时分析日志
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【日志与数据分析】—【数据分析】,进入【日志分析】菜单。
- 单击【日志任务列表】—【操作】中的【实时分析日志】按钮,进入实时分析日志页面。
业务访问日志字段说明
配置项 |
说明 |
示例 |
request_time |
节点处理请求的总时间 |
0.028 |
status |
节点HTTP响应状态码 |
200 |
time_local |
日志打印时间 |
2024-01-08 09:33:25 |
remote_addr |
客户端ip |
36.111.88.33 |
remote_port |
客户端端口 |
44714 |
request_method |
请求方法 |
GET |
url |
请求URL |
http://www.ctyun.cn/live/test.flv |
server_protocol |
HTTP协议 |
HTTP/1.1 |
body_bytes_sent |
节点响应客户端大小 |
352 |
http_referer |
请求头Referer的值 |
- |
http_user_agent |
请求头User-Agent的值 |
VLC/2.0.6 LibVLC/2.0.6 |
request_length |
请求长度,含请求头和请求body长度,单位byte |
171 |
request_id |
请求id |
c422b1e1f94a06170b4a241bde8aa257 |
http_x_forwarded_for |
请求头部x-forwarded-for |
36.111.88.34 |
attack_type |
攻击类型 |
WAF_NONE |
source_code |
回源状态码 |
200 |
server_name |
请求域名 |
www.ctyun.cn |
uri |
请求uri |
/ |
Web应用攻击日志字段说明
配置项 |
说明 |
示例 |
request_id |
请求id |
idc422b1e1f94a06170b4a241bde8aa257 |
rule_id |
攻击请求命中的防护规则ID |
4102 |
content |
攻击请求的内容 |
{"ip":"127.0.0.1","expire":1704425796.736,"zone":"KEY","sub_id":"7793","reason_id":1000,"reason":"attack challenge over threshold","name":"ip","attack_time":1704425793.736,"value":"127.0.0.1"} |
uri |
攻击请求的uri |
/login.php |
user_agent |
攻击请求的UA |
VLC/2.0.6 LibVLC/2.0.6 |
referer |
攻击请求的referer |
- |
client_id |
攻击请求的客户端id |
56696 |
score |
智能评分 |
100 |
status_code |
节点响应的状态码 |
403 |
source_code |
源站响应的状态码 |
200 |
request_method |
攻击请求的请求方法 |
GET |
scheme |
攻击请求的scheme |
http |
attack_ip |
攻击IP |
127.0.0.1 |
client_port |
客户端端口 |
44714 |
sub_id |
规则子ID,访问控制、频率控制策略会有规则子ID |
7793 |
如何使用交互说明
支持使用交互模式查询日志,单击【+查询条件】按钮,在浮窗中选择查询对应的字段。支持多个查询条件联查
- 支持包含、不包含和模糊查询三种方式。
- 支持输入查询的value值(支持输入多个值,值与值的关系为或)。
- 支持多个查询条件联查。多个查询条件框之间为且的关系。
如何使用快速查询
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【日志与数据分析】—【数据分析】,进入【日志分析】菜单。
- 单击【日志任务列表】—【操作】中的【实时分析日志】按钮,进入实时分析日志页面。
- 在【原始日志】页面,单击需要分析的字段值。
- 新建查询:按照选中的值查询。
- 从本次查询中删除:在查询条件中排除改字段的值。
- 复制:复制对应字段的值。