安全加速 SCDN 事件日志-用户指南-文档中心-腾讯云

功能介绍
安全加速 SCDN 对 Web 攻击/CC 攻击/BOT 会话的⽇志信息进行记录，您可以根据需要，查看并下载日志详情。
操作指引
1. 查看安全日志
设置查询时间范围，进行域名选择和攻击类型条件筛选，单击查询可查看日志。
Web 攻击⽇志查询：⽀持根据攻击类型、执⾏动作进⾏筛选，也⽀持针对攻击位置和攻击源 IP 进⾏过滤。针对过滤出来的条⽬，单击右侧详情进⼊详情⻚，可查看明细日志。
 
﻿
﻿
CC 攻击⽇志查询：⽀持根据执⾏动作（拦截/观察/重定向）进⾏筛选，也⽀持针对攻击源 IP 进⾏过滤。针对过滤出来的条⽬，单击右侧详情进⼊详情⻚，可查看⽇志明细。
 
﻿
﻿
BOT 会话⽇志查询：⽀持根据 BOT 类型（未知/自定义/公开类型）进⾏筛选，也⽀持针对攻击源 IP 进⾏过滤。针对过滤出来的条⽬，单击右侧查看详情进⼊详情⻚，可查看基础信息和访问详情。
 
﻿
﻿
2. 创建及下载日志
根据查询的日志列表，单击创建日志任务。
 
﻿
﻿
日志任务创建后，切换到下载任务页面，单击下载即可获取离线日志。
﻿
﻿
说明
BOT 会话仅支持下载查询列表，详情请在查看详情页中查看。
SCDN 支持下载最近1周范围内的攻击日志。
单个日志任务最多支持下载1000条日志；每日允许创建100个下载任务。
日志任务生成的日志文件保留7天。
日志字段说明
SCDN 事件日志文件包命名方式为 [host]-scdn-[uuid]，默认打包为.gz文件。其中 [host] 为指定域名，[uuid] 为该日志任务的唯一识别码。日志文本使用 JSON 格式，其中攻击记录包含的字段及其含义如下表所示：
字段名（key）
中文名/释义
字段值（value）示例
datetime
请求日期、时间（北京时间 UTC+8），格式为 YYYYMMDDHHMMSS
20200514145500
server_ip
边缘安全节点 IP
119.29.29.29
client_ip
客户端 IP
119.29.29.29
host
请求域名
cloud.tencent.com
path_query
请求路径、查询字符串
/cache.txt?id=1%20or%205=5
status_code
响应状态码。当 WAF 状态码为 566 时，Web 攻击防护执行动作为拦截；当状态码为其他时，执行动作为观察。当 CC 状态码为 514 时，CC 攻击防护执行动作为拦截；为302/301时，CC 攻击防护执行动作为重定向；当状态码为其他时，执行动作为观察。
566
time_taken
响应时间（毫秒），指节点从收到请求后到响应所有回包所花费的时间
12
referer
请求 referer 头部信息
https://cloud.tencent.com/
user_agent
请求 User-Agent 头部信息
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
req_header_size
请求头部大小（字节）
360
req_body_size
请求正文大小（字节）
0
rsp_header_size
响应头部大小（字节）
259
rsp_bytes
响应字节数，节点实际响应客户端内容大小（字节），包括头部、正文
259
uuid
请求唯一标识符
2844838522671723187
action
CC日志特有。防护动作
intercept
waf_attack_payload
WAF 日志特有。Web 攻击请求的攻击内容
/cache.txt?id=1 or 5=5
waf_attack_type
WAF 日志特有。Web 攻击请求的攻击类型
xss
waf_attack_location
WAF 日志特有。Web 攻击请求发生的位置，例如请求参数、URI、IP 等
REQUEST_URI_RAW
cookie
WAF 日志特有。请求 Cookie 头部信息
isQcloudUser=false; language=zh
req_header
WAF 日志特有。请求头内容
略
rsp_header
WAF 日志特有。响应头部内容
略
req_body
WAF 日志特有。请求正文内容
略
关于 Web 攻击类型字段说明：
waf_attack_type
Web 攻击类型
webshell
Webshell 检测防护
oa
常见 OA 漏洞防护
xss
XSS 跨站脚本攻击防护
xxe
XXE 攻击防护
webscan
扫描器攻击漏洞防护
cms
常见 CMS 漏洞防护
upload
文件上传攻击防护
cmd_inject
命令/代码注入攻击防护
sql
SQL 注入攻击防护
osc
开源组件漏洞防护
file_read
任意文件读取/下载防护
ldap
ldap 注入攻击防护
other
其它漏洞防护
SSRF
服务器端请求伪造
ssti
服务端模板注入漏洞
backend
未授权访问漏洞
﻿

字段名（key）	中文名/释义	字段值（value）示例
datetime	请求日期、时间（北京时间 UTC+8），格式为 YYYYMMDDHHMMSS	20200514145500
server_ip	边缘安全节点 IP	119.29.29.29
client_ip	客户端 IP	119.29.29.29
host	请求域名	cloud.tencent.com
path_query	请求路径、查询字符串	/cache.txt?id=1%20or%205=5
status_code	响应状态码。当 WAF 状态码为 566 时，Web 攻击防护执行动作为拦截；当状态码为其他时，执行动作为观察。当 CC 状态码为 514 时，CC 攻击防护执行动作为拦截；为302/301时，CC 攻击防护执行动作为重定向；当状态码为其他时，执行动作为观察。	566
time_taken	响应时间（毫秒），指节点从收到请求后到响应所有回包所花费的时间	12
referer	请求 referer 头部信息	`https://cloud.tencent.com/`
user_agent	请求 User-Agent 头部信息	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
req_header_size	请求头部大小（字节）	360
req_body_size	请求正文大小（字节）	0
rsp_header_size	响应头部大小（字节）	259
rsp_bytes	响应字节数，节点实际响应客户端内容大小（字节），包括头部、正文	259
uuid	请求唯一标识符	2844838522671723187
action	CC日志特有。防护动作	intercept
waf_attack_payload	WAF 日志特有。Web 攻击请求的攻击内容	/cache.txt?id=1 or 5=5
waf_attack_type	WAF 日志特有。Web 攻击请求的攻击类型	xss
waf_attack_location	WAF 日志特有。Web 攻击请求发生的位置，例如请求参数、URI、IP 等	REQUEST_URI_RAW
cookie	WAF 日志特有。请求 Cookie 头部信息	isQcloudUser=false; language=zh
req_header	WAF 日志特有。请求头内容	略
rsp_header	WAF 日志特有。响应头部内容	略
req_body	WAF 日志特有。请求正文内容	略

waf_attack_type	Web 攻击类型
webshell	Webshell 检测防护
oa	常见 OA 漏洞防护
xss	XSS 跨站脚本攻击防护
xxe	XXE 攻击防护
webscan	扫描器攻击漏洞防护
cms	常见 CMS 漏洞防护
upload	文件上传攻击防护
cmd_inject	命令/代码注入攻击防护
sql	SQL 注入攻击防护
osc	开源组件漏洞防护
file_read	任意文件读取/下载防护
ldap	ldap 注入攻击防护
other	其它漏洞防护
SSRF	服务器端请求伪造
ssti	服务端模板注入漏洞
backend	未授权访问漏洞

事件日志

本页目录：

功能介绍

操作指引

日志字段说明