功能简介
访问日志功能用于记录 Web 应用防火墙防护域名的访问日志信息,提供开启访问日志开关的域名在用户自定义的日志保存天数内(最大180天)的访问日志记录、查询和下载功能。启用访问日志功能后,您可以根据需要查询和下载访问日志。
注意:
若需关闭访问日志功能,请在 域名接入 页面中找到对应的域名,关闭访问日志功能。
若需关闭访问日志功能的自动续费,请在 续费管理 页面中找到对应的安全日志服务包计费项,并取消其自动续费。
服务包到期后,系统将停止存储新增访问日志。
资源销毁后,所有历史日志将在24小时内被清空,该操作不可逆,请您谨慎处理。
安全日志服务包到期后,资源将保留7天。在此期间内续费视为续订,计费周期将从原到期日起算;超过7天后未续费,日志资源将被销毁,此后再次购买将视为新购订单。
当已存储的日志量超出所购容量时,系统将自动停止写入新的访问日志,但历史日志仍会保留直至达到预设存储周期后自动删除。 为避免日志量超额导致新日志丢失,建议您定期关注日志存储容量使用情况,并及时扩容,以确保访问日志的完整记录。
操作步骤
启用访问日志
配置访问日志存储
注意:
全部日志存储配置仅在选中“全部实例”且“全部域名”时展示,选中“单个域名”时,仅支持修改该域名的日志存储字段设置。
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择访问日志,并单击日志服务。
2. 在日志服务页面,左上角可切换实例和域名;单击右上角存储配置,可以查看并修改日志存储相关配置。
生效域名范围:支持查看已经开启访问日志的域名数量,并支持单击前往设置,在域名列表中修改单个域名的访问日志开关开启状态。
日志保存天数:单击编辑,即可修改日志保存天数。支持修改为7天、30天、32天、60天、90天、180天。每2个月支持修改1次存储时长。
说明:
日志保存天数支持设置最大180天。为满足等保合规要求,建议用户访问日志存储天数设置为180天。
修改日志存储时长后,修改前存储的日志将按原存储时长淘汰,新存储的日志按修改后的存储时长淘汰。
日志字段设置:单击编辑,支持自定义勾选保存 BOT 信息、请求内容 Request Body、自定义 Headers。
说明:
日志字段设置支持基于全部域名、单个域名进行设置。全部域名及单个域名均配置策略时,针对单个域名配置的策略优先生效。
日志清空次数:单击手动清空,支持删除当前存储的所有历史日志,部分统计和报表数据将被丢弃,操作不可恢复。每个自然月支持最多清空4次。
说明:
手动清空仅能针对当前所有日志,且操作预计耗时10分钟左右,操作期间停止写入日志。
存储告警设置:单击编辑,支持设置通知的阈值百分比。当日志存储量达到您设定的阈值百分比,即会触发对当前账户短信、站内信、邮件、微信、企业微信等渠道的告警通知。
3. 在日志服务页面,右上角可查看日志已使用容量进度条,单击了解详情,可跳转到 Web 应用防火墙的计费详情页面。
检索访问日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择访问日志。
2. 在访问日志页面,单击日志服务,切换到日志服务页面。
3. 检索访问日志前,请先设置检索的范围。选择实例和域名,设置时间范围,单击 
交互模式:根据交互条件,检索访问日志。
3.1.1 在访问日志 > 日志服务页面,选择交互模式。
3.1.2 单击添加检索条件,选择日志详情字段和逻辑关系,单击确定。日志详情字段说明请参考 日志详情字段。
3.1.3 重复执行上一步,直到添加完所有检索条件,单击
语句模式:根据检索语句,检索访问日志。
3.1.4 在访问日志 > 日志服务页面,选择语句模式。
3.1.5 您可以通过以下两种方式编写查询语句:
在语句框中直接输入检索语句,然后单击 
使用 AI 智能编写辅助生成查询语句,详情请参考 智能编写查询语句。
分析访问日志
原始日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择访问日志。
2. 在访问日志页面,单击日志服务 > 原始日志。
在原始日志上方,可以查看当前检索条件下符合条件的日志总条数和时间分布等关键信息;也可以通过下方设置栏切换原始日志的展示样式。
在原始日志数据列表左侧,单击“字段名称”,会按日志数大小排序展示与本字段匹配的 TOP 5 字段详情及日志数占比。日志详情字段说明请参考 日志详情字段说明。
在访问日志数据列表中,单击每条展示日志发生时间左侧的
统计图表
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择访问日志。
2. 在访问日志页面,单击日志服务 > 统计图表。
3. 生成图表时,您可以选择:
交互模式:通过添加统计语句来生成图表。单击添加统计语句,配置具体的指标、维度、排序方式、统计方法,并设定最大返回结果数量,单击确定。
语句模式:直接使用查询语句进行绘图:
在语句框中直接输入检索语句,然后单击 
使用 AI 智能编写辅助生成查询语句,详情请参考 智能编写查询语句。
4. 图表生成后,您可以通过以下两种方式调整其展示效果:
在图表配置中直接修改图表类型。
使用图表推荐提供的样式或语句模板快速优化展示。
下载访问日志
1. 登录 Web 应用防火墙控制台,在左侧导航栏中选择访问日志。
2. 在访问日志页面,单击日志服务 > 原始日志。
3. 在原始日志数据列表右上角, 单击
单击下载日志,进入下载日志数据页面。根据需要对数据格式、日志排序、选择字段、日志数量等选项进行设置,单击导出。
注意:
默认下载当前检索的日志范围。
同一时间段内只允许创建一个下载任务,请耐心等待。
单次最多下载100万条日志,如果您需要下载的日志超过100万条,建议您分多次任务进行下载。
当选择泛域名(如:
*.abc.com)时,所有关联子域名(以.abc.com结尾)的日志也将会被下载。最多创建五条下载任务,请注意下载的任务数。
单击下载记录,进入下载记录页面。可在此查看所有的下载任务相关信息,并对已完成的下载任务进行删除或下载操作。
说明
创建成功的日志下载任务,保留3天,超过3天之后日志文件将会删除,请及时下载。
日志投递
附录
日志详情字段说明
信息类型 | 字段名 | 说明 | 示例 |
基础信息 | domain | 客户端请求访问的域名信息,泛域名或者对象接入时,当前为精准的域名。 | clbwaf-example.qcloudwaf.com |
| request_time | 请求耗时:客户端请求达到 Web 应用防火墙和从 Web 应用防火墙返回需要的时间。单位:秒。 | 0.003 |
| client | 访问源 IP:客户端请求源 IP。 | 1.1.1.1 |
| uuid | 请求 UUID:HTTP 请求唯一标识。 | 2325eec3f71112f07263bd594440e7a9-20f1db72af339bd9587110a22ec2b913 |
| schema | 请求协议:HTTP 或者 HTTPS。 | http |
| method | 客户端请求方法。 | GET |
| instance | 所属 Web 应用防火墙实例 ID | waf_examplename |
| query | 客户端 HTTP 请求的 Query String,最大长度为1K Byte。 | content=article&post_id=123 |
| time | NGINX 记录的客户端 HTTP 请求发生时间,以本地可读的时间格式表示。 | 23/Jun/2025:11:58:22 +0800 |
| timestamp | 客户端 HTTP 请求发生时的 ISO 8601 标准格式时间戳。 | 2025-06-23T11:58:22+08:00 |
| appid | 用户腾讯云账号的 APPID。 | 1234567891 |
Header 头部详情 | url | 客户端 HTTP 请求头部字段,记录客户端完整请求路径中,域名后第一个“/”到“?”之间的内容。 | /products/item123 |
| accept | 客户端 HTTP 请求头部字段,用于告知服务器客户端所支持的响应内容类型。 | text/html |
| encoding | 客户端 HTTP 请求头部字段,用于告知服务器客户端所支持的压缩算法。 | gzip |
| language | 客户端 HTTP 请求头部字段,用于告知服务器客户端所支持的语言。 | en-US |
| connection | 客户端 HTTP 请求头部字段,控制连接行为,例如保持连接、关闭连接等。 | close |
| content_type | 客户端 HTTP 请求头部字段,指定请求体的 MIME 类型。 | application/x-www-form-urlencoded |
| cookie | 客户端 HTTP 请求头部字段,记录请求的 Cookie 信息,最大长度为1K。单位:Byte。 | k1=v1;k2=v2 |
| host | 客户端 HTTP 请求头部字段,记录客户端请求域名。 | 1.1.1.1:80 |
| referer | 客户端 HTTP 请求头部字段,记录请求的来源 URL 信息。如果请求无来源 URL 信息,则该字段显示-。 | http://example.com |
| x_forwarded_for | 客户端 HTTP 请求头部字段,记录客户端请求经过的所有代理 IP 地址及客户端真实 IP 地址。 | XX.XX.XX.XX |
| user_agent | 客户端 HTTP 请求头部字段,记录客户端的软件和操作系统信息。 | Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36 |
| request_length | 客户端 HTTP 请求的字节数。单位:Byte。 | 435 |
响应详情 | upstream_status | 源站返回给 Web 应用防火墙的响应状态码。 | 0 |
| user_agent | SAAS 型 Web 应用防火墙返回给客户端的响应状态码: 200:正常请求 202:前端对抗 302:重定向 403:拦截 4XX:参考 HTTP 响应状态码标准定义 5XX:参考 HTT P 响应状态码标准定义 负载均衡型 Web 应用防火墙返回给负载均衡的响应状态码: 600:正常请求 624:前端对抗 621:重定向 615:拦截 | 600 |
| bytes_sent | 响应体大小。单位:Byte。 | 112 |
| upstream_connect_time | 客户端请求从 Web 应用防火墙到源站需要的连接时间。单位:秒。 | 0.033 |
| upstream_response_time | 客户端请求从源站返回到 Web 应用防火墙需要的时间。单位:秒。 | 0.033 |
| upstream | 源站服务器的 IP 地址。 | 1.1.1.1 |
基础攻击日志 | attack_type | 攻击类型:攻击具体命中的攻击类型 | XSS 攻击 |
| sec_action | 执行动作,客户端攻击触发的处置动作,包括观察(0)、拦截(1)、人机识别(2)、重定向(3)四种处理结果。 | 1 |
| rule_id | 规则 ID:触发防护策略的规则 ID | 10000244 |
| risk_level | 风险等级:客户端攻击触发的风险等级,包括高危(1)、中危(2)、低危(3)三种风险等级 | 1 |
| sec_chain | 请求经过的安全模块及对应执行动作。 | {"acl":{"ac":6},"areaban":{"ac":6},"bw_list":{"ac":12},"web_sec":{"id":10000244,"ac":1},"whitelist":{"ac":6}} |
BOT 防护详情 | bot_module | 当前访问请求命中的 BOT 检测模块。 | 模块名称/中英文处理 |
| bot_action | 当前访问请求对应执行的 BOT 处置动作。 | intercept |
| bot_score | 当前访问请求的 BOT 得分信息。 | 20 |
| bot_label | 当前访问请求命中的 BOT 标签。 | 恶意 bot |
| ua_type | 当前访问请求中访问用户的 User-Agent 类型。 | bot |
| ua_crawlername | 当前访问请求中疑似爬虫的 User-Agent 名称。 | CensysInspect/1.1 |
| ua_fake | 当前访问请求中的 User-Agent 是否伪造,0为否,1为是。 | 0 |
| ua_goodbot | 当前访问请求中的 BOT 是否为 goodbot,0为否,1为是。 | 0 |
| bot_ai | 当前访问请求是否命中 AI 引擎的异常请求,0为无异常,1为异常。 | 0 |
| bot_stat | 当前访问请求是否命中智能统计的异常请求,0为无异常,1为异常。 | 0 |
| bot_ti_tags | 当前访问请求是否命中威胁情报,展示命中的情报标签。 | "WEB 漏洞利用","Bot 机器人","FTP 扫描" |
| bot_id | 当前访问请求的 BOT ID。 | |
| bot_scene_id | 当前访问请求命中的 BOT 场景 ID。 | 3100806770 |
| bot_action_id | 当前访问请求命中的 BOT 动作策略 ID。 | |
| bot_rule_id | 当前访问请求命中的 BOT 规则 ID。 | 3300002268 |
| bot_rule_name | 当前访问请求命中的 BOT 规则名称。 | Censys |
| bot_token | 当前访问请求的 BOT 会话 ID。 | |
| bot_tld_risk_tag | 当前访问请求的终端风险标签情况(需购买 RCE 设备安全能力)。 | |
| bot_ua | 当前访问请求是否命中了 ua 策略。 | 0 |
访问 IP 信息 | ipinfo_nation | 访问 IP 所属国家名称。 | 中国 |
| ipinfo_state | 访问 IP 所属国家英文简称。 | CN |
| ipinfo_city | 访问 IP 所属城市。 | 郑州 |
| ipinfo_province | 访问 IP 所属省份。 | 河南 |
| ipinfo_isp | 访问 IP 所属运营商。 | chinaunicom.com |
| ipinfo_detail | 访问 IP 详情。 | - |
| ipinfo_longitude | 访问 IP 所属经度信息。 | 113.65302 |
| ipinfo_dimensionality | 访问 IP 所属纬度信息。 | 34.7625 |
其他自定义字段 | headers | 协议头部信息:包括自定义头部信息。 | waf-customize-lbid: lb-exmple accept: */* stgw-orgreq: GET / HTTP/1.1 x-waf-uuid: 03043817b707b17ba519d478944e0634-e88bfddc17eb7a9193a92db7b0c00000 stgw-orgcontentlength: 0 content-length: 0 stgw-orgservername: clbwaf-shjr.qcloudwaf.com stgw_request_id: 78b504122b27657f7355af12dbd00000 connection: close |
| body | 请求内容 Request Body | |
| attack_category | 攻击一级分类/防护模块 | WEB 通用攻击 |
| attack_content | 攻击内容:客户端触发攻击的内容 | {"action":3,"type":1,"field":"alert("m3nsHen_Va1idation")","mc":"XSS 攻击","offset":0,"sc":"XSS 攻击","level":5,"target":"Parameter","match":"alert("m3nsHen_Va1idation")","data":"alert("m3nsHen_Va1idation")","sid":"010000244"} |
| attack_place | 攻击位置:攻击方式在 HTTP 请求中的位置 | Parameter |
| count | 攻击次数:相同攻击源 IP 和攻击类型,汇总每10秒产生的攻击次数。 | 1 |
| waf_verify | 验证码通过验证标记 | success |
| pan | 接入域名或者 clb 对象 | lb-example,泛域名 |
| http_log | 记录 HTTP 请求和响应信息的日志文件 | {"REQUEST_METHOD":"GET","PROCOTOL":"HTTP/1.1","REQUEST_ARG_RAW":"{"1750650000.4178421":true,"alert("m3nsHen_Va1idation")":true}"} |
| args_name | 命中攻击日志参数名称:HTTP 请求中的参数名 | Parameter |
sec_chain 字段说明
模块字段说明
模块字段名 | 模块类型 |
web_sec | Web 基础安全 |
cc | CC 防护 |
areaban | 访问控制-地域封禁 |
whitelist | 精准白名单 |
bw_list | IP 黑白名单 |
acl | 访问控制 |
bot | Bot 管理 |
ip_punish | Web 基础安全-IP 封禁 |
business_risk | 业务安全 |
ai | AI 引擎 |
captcha | 验证码服务 |
api_sec | API 安全 |
执行动作说明
动作代码 | 动作说明 |
0 | Bypass |
1 | Deny |
2 | CAPTCHA |
3 | Redirect |
4 | Log |
5 | No_Action |
6 | Empty_Rules |
7 | Allow |
9 | Return |
10 | Reload |
11 | Error |
12 | Miss |
13 | JSChallenge |
14 | Delay |
15 | AUTO_CAPTCHA_LOG |
16 | AUTO_CAPTCHA_DENY |
20 | Action Unknown |
