功能简介
安全加速 SCDN 对 Web 攻击请求的日志信息进行记录,记录内容包括攻击请求时间,攻击客户端 IP,攻击类型,攻击内容详情等。您可以根据需要,按照过滤条件创建日志下载任务,并下载对应攻击事件日志文件。
下载日志
登录 SCDN 控制台在菜单栏里选择【事件日志】,您可以创建日志任务并下载所生成的日志文件,具体操作如下。
- 您可以单击【创建日志任务】,选择需要下载日志的域名,筛选攻击类型(可选全部攻击类型,或一种攻击类型)、执行动作(可选全部执行动作,或一种执行动作),和时间范围,创建日志任务。
- SCDN 支持下载最近1周范围内的攻击日志。
- 单个日志任务最多支持下载1000条日志;每日允许创建100个下载任务。
- 日志任务创建后,日志文件会在约1分钟内生成,您可以单击【下载】下载日志文件。
- 日志任务生成的日志文件保留7天。
日志格式
日志文件
SCDN 事件日志文件包命名方式为 [host]-scdn-[uuid]
,默认打包为.gz
文件。其中 [host] 为指定域名,[uuid] 为该日志任务的唯一识别码。日志文件包命名示例:
cloud.tencent.com-scdn-265bfe91-99d3-4964-a110-fc61a70a82d6.gz
日志正文
SCDN 事件日志使用 JSON 格式。日志中攻击记录包含的字段及其含义如下表所示:
字段名(key) | 中文名/释义 | 字段值(value)示例 |
---|---|---|
datetime | 请求日期、时间(北京时间 UTC+8),格式为 YYYYMMDDHHMMSS | 20200514145500 |
server_ip | 边缘安全节点 IP | 119.29.29.29 |
client_ip | 客户端 IP | 119.29.29.29 |
host | 请求域名 | cloud.tencent.com |
path_query | 请求路径、查询字符串 | /cache.txt?id=1%20or%205=5 |
status_code | HTTP 响应状态码:当状态码为 566 时,Web 攻击防护执行动作为拦截;当状态码为其他时,执行动作为观察 | 566 |
time_taken | 响应时间(毫秒),指节点从收到请求后到响应所有回包所花费的时间 | 12 |
referer | 请求 referer 头部信息 | https://cloud.tencent.com/ |
user_agent | 请求 User-Agent 头部信息 | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 |
cookie | 请求 Cookie 头部信息 | isQcloudUser=false; language=zh |
req_header_size | 请求头部大小(字节) | 360 |
req_body_size | 请求正文大小(字节) | 0 |
rsp_header_size | 响应头部大小(字节) | 259 |
rsp_bytes | 响应字节数,节点实际响应客户端内容大小(字节),包括头部、正文 | 259 |
waf_attack_payload | Web 攻击请求的攻击内容 | /cache.txt?id=1 or 5=5 |
waf_attack_type | Web 攻击请求的攻击类型 | 1010 |
waf_attack_location | Web 攻击请求发生的位置,例如请求参数、URI、IP 等 | REQUEST_URI_RAW |
uuid | 请求唯一标识符 | 2844838522671723187 |
事件日志记录(JSON 格式化后)示例:
{
"datetime": "20200514145500",
"server_ip": "119.29.29.29",
"client_ip": "119.29.29.29",
"host": "cloud.tencent.com",
"path_query": "/cache.txt?id=1%20or%205=5",
"status_code": "566",
"time_taken": "12",
"referer": "https://cloud.tencent.com/",
"user_agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36",
"cookie": "isQcloudUser=false; language=zh",
"req_header_size": "360",
"req_body_size": "0",
"rsp_header_size": "259",
"rsp_bytes": "259",
"waf_attack_payload": "/cache.txt?id=1 or 5=5",
"waf_attack_type": "1010",
"waf_attack_location": "REQUEST_URI_RAW",
"uuid": "2844838522671723187"
}
攻击类型映射
攻击类型 ID | 攻击类型 |
---|---|
1001 | 恶意扫描 |
1010 | SQL 注入攻击 |
1011 | XSS 攻击 |
1012 | 命令注入攻击 |
1013 | LDAP 注入攻击 |
1014 | SSI 注入攻击 |
1015 | XML 注入攻击 |
1016 | Web 服务漏洞攻击 |
1017 | Web 应用漏洞攻击 |
1018 | 路径跨越攻击 |
1019 | 核心文件非法访问 |
1020 | 文件上传攻击 |
1021 | 木马后门攻击 |
1022 | CSRF 攻击 |
1000 | 未知类型 |