事件日志

最近更新时间:2024-01-12 16:46:31

我的收藏

功能介绍

安全加速 SCDN 对 Web 攻击/CC 攻击/BOT 会话的⽇志信息进行记录,您可以根据需要,查看并下载日志详情。

操作指引

1. 查看安全日志 设置查询时间范围,进行域名选择和攻击类型条件筛选,单击查询可查看日志。
Web 攻击⽇志查询:⽀持根据攻击类型、执⾏动作进⾏筛选,也⽀持针对攻击位置和攻击源 IP 进⾏过滤。针对过滤出来的条⽬,单击右侧详情进⼊详情⻚,可查看明细日志。


CC 攻击⽇志查询:⽀持根据执⾏动作(拦截/观察/重定向)进⾏筛选,也⽀持针对攻击源 IP 进⾏过滤。针对过滤出来的条⽬,单击右侧详情进⼊详情⻚,可查看⽇志明细。


BOT 会话⽇志查询:⽀持根据 BOT 类型(未知/自定义/公开类型)进⾏筛选,也⽀持针对攻击源 IP 进⾏过滤。针对过滤出来的条⽬,单击右侧查看详情进⼊详情⻚,可查看基础信息和访问详情。


2. 创建及下载日志
根据查询的日志列表,单击创建日志任务


日志任务创建后,切换到下载任务页面,单击下载即可获取离线日志。


说明
BOT 会话仅支持下载查询列表,详情请在查看详情页中查看。
SCDN 支持下载最近1周范围内的攻击日志。
单个日志任务最多支持下载1000条日志;每日允许创建100个下载任务。
日志任务生成的日志文件保留7天。

日志字段说明

SCDN 事件日志文件包命名方式为 [host]-scdn-[uuid],默认打包为.gz文件。其中 [host] 为指定域名,[uuid] 为该日志任务的唯一识别码。日志文本使用 JSON 格式,其中攻击记录包含的字段及其含义如下表所示:
字段名(key)
中文名/释义
字段值(value)示例
datetime
请求日期、时间(北京时间 UTC+8),格式为 YYYYMMDDHHMMSS
20200514145500
server_ip
边缘安全节点 IP
119.29.29.29
client_ip
客户端 IP
119.29.29.29
host
请求域名
cloud.tencent.com
path_query
请求路径、查询字符串
/cache.txt?id=1%20or%205=5
status_code
响应状态码。当 WAF 状态码为 566 时,Web 攻击防护执行动作为拦截;当状态码为其他时,执行动作为观察。当 CC 状态码为 514 时,CC 攻击防护执行动作为拦截;为302/301时,CC 攻击防护执行动作为重定向;当状态码为其他时,执行动作为观察。
566
time_taken
响应时间(毫秒),指节点从收到请求后到响应所有回包所花费的时间
12
referer
请求 referer 头部信息
https://cloud.tencent.com/
user_agent
请求 User-Agent 头部信息
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
req_header_size
请求头部大小(字节)
360
req_body_size
请求正文大小(字节)
0
rsp_header_size
响应头部大小(字节)
259
rsp_bytes
响应字节数,节点实际响应客户端内容大小(字节),包括头部、正文
259
uuid
请求唯一标识符
2844838522671723187
action
CC日志特有。防护动作
intercept
waf_attack_payload
WAF 日志特有。Web 攻击请求的攻击内容
/cache.txt?id=1 or 5=5
waf_attack_type
WAF 日志特有。Web 攻击请求的攻击类型
xss
waf_attack_location
WAF 日志特有。Web 攻击请求发生的位置,例如请求参数、URI、IP 等
REQUEST_URI_RAW
cookie
WAF 日志特有。请求 Cookie 头部信息
isQcloudUser=false; language=zh
req_header
WAF 日志特有。请求头内容
rsp_header
WAF 日志特有。响应头部内容
req_body
WAF 日志特有。请求正文内容
关于 Web 攻击类型字段说明:
waf_attack_type
Web 攻击类型
webshell
Webshell 检测防护
oa
常见 OA 漏洞防护
xss
XSS 跨站脚本攻击防护
xxe
XXE 攻击防护
webscan
扫描器攻击漏洞防护
cms
常见 CMS 漏洞防护
upload
文件上传攻击防护
cmd_inject
命令/代码注入攻击防护
sql
SQL 注入攻击防护
osc
开源组件漏洞防护
file_read
任意文件读取/下载防护
ldap
ldap 注入攻击防护
other
其它漏洞防护
SSRF
服务器端请求伪造
ssti
服务端模板注入漏洞
backend
未授权访问漏洞