产品文档

Web 应用防火墙

全量日志查询

开启全量日志功能后,WAF将记录您网站的所有访问请求日志,您可以通过一键智能搜索快速定位请求记录,满足运维、安全方面的管理需求。

通过全量日志功能,您可以轻松地完成以下运维工作:

  • 确认某个具体请求是否被WAF拦截或放行。
  • 确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。
  • 查询源站对于某个具体请求的响应时间,观察是否超时等。
  • 通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。

说明: 启用全量日志查询功能,即表示您允许京东云记录您全部通过WAF的Web请求

使用日志检索功能前,需要在网站配置页面为指定的网站域名开启日志检索功能。只有开启日志检索功能后,WAF才会开始记录该网站的访问日志。为网站域名开启日志检索功能后,您就可以在全量日志页面查询该网站的访问日志。

操作步骤

参照以下步骤,查看全量日志信息:

  1. 登录京东云Web应用防火墙控制台
  2. 前往 网站配置页面。
  3. 选择已添加的网站域名,在日志检索栏,单击开启日志检索功能。 说明: 您也可以在此页面停用日志检索。如果您停用日志检索功能,则停用期间的访问请求日志不会被记录;即使重新开启日志检索功能,您也无法查询到停用期间的访问请求日志。img
  4. 前往全量日志页面。
  5. 选择域名,设置查询时间,单击查询按钮即可完成

说明: 全量日志功能最多记录最近一个月内的访问日志,数据具有一定的延迟性。

img

高级搜索

字段 描述
源IP 访问的客户端来源IP。
URL关键字 访问请求URL。说明: 所填写的URL关键字支持包含“/”符号。例如,您可以填写/ntis/cashier。
服务器响应状态码 源站服务器返回给WAF的响应状态信息。说明: 支持最多填写三位数字。同时,支持填写-符号,搜索无状态信息的访问请求。
Referer 访问请求头部中带有的访问请求的来源URL信息。
User-Agent 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
防护规则 选择命中的防护规则类型,包括Web攻击防护、CC防护策略、访问控制策略。
  1. 查看日志检索结果。

  2. 访问日志列表中,查看符合检索条件的访问请求记录。例如,被Web攻击防护规则拦截的访问请求记录如下图所示。img关于源站响应信息中的参数含义说明

      • Status:指WAF返回给客户端的响应状态信息,403表示服务器收到请求但拒绝提供服务。
      • Upstream_ip:指该请求所对应的源站IP。
      • Upstream_time:指源站响应WAF请求的时间。如果返回“-”,代表响应超时。
  3. 单击全量日志页面的创建日志下载任务可为当前检索到的日志结果生成下载任务。然后点击查看下载文件,在查看下载文件页面,当前任务下载任务生成完成后,点击日志下载即可将相应格式的日志文件下载到本地。

说明: 单次最多支持导出2000万条日志。如果您需要导出的日志超过2000万条以上,建议您分多次任务进行导出。

日志文件字段说明

字段 字段名称 描述
time 访问时间 访问请求的发生时间,在所下载的日志文件中以UTC时间记录。
remote_addr 服务器IP 访问请求的服务器IP。如果使用了“匿名代理”,当前IP为代理服务器的IP。
Domain 访问域名 访问请求的域名。
http_referer HTTP Referer字段 访问请求头部中带有的访问请求的来源URL信息。
http_user_agent HTTP User-Agent字段 访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。
status 源站响应状态码 源站返回给WAF的响应状态。如果返回“-”,表示没有响应(例如该请求被WAF拦截或源站响应超时)。
action 防护状态 WAF对该访问请求的处理结果: - 未发现攻击 放行 - WAF攻击 拦截 - Cc攻击 拦截
upstream_ip 源站响应时间 源站响应WAF请求的时间。如果返回“-”,代表响应超时。
upstream_time 来源IP所属地区 访问来源IP所属地区。
req_content 请求URI 请求URI
更新时间:2019-03-20 20:56:47