通过全量日志功能，您可以轻松地完成以下运维工作：确认某个具体请求是否被WAF拦截或放行。确认某个具体拦截是由Web攻击、CC攻击防护或是自定义的访问控制规则触发。查询源站对于某个具体请求的响应时间，观察是否超时等。通过源IP、URL关键字、cookie、referer、user-agent、X-forwarded-for、服务器响应状态码等条件组合查询具体的请求。说明 启用全量日志查询功能，即表示您允许阿里云记录您全部经过WAF的Web请求（POST数据不会被记录）。使用日志检索功能前，需要在 网站配置页面为指定的网站域名开启日志检索功能。只有开启 日志检索功能后，WAF才会开始记录该网站的访问日志。为网站域名开启日志检索功能后，您就可以在 全量日志页面查询该网站的访问日志。说明 WAF最多支持查看100个域名的全量日志。

操作步骤

登录云盾Web应用防火墙控制台。前往管理 > 网站配置页面，并在页面上方选择WAF所在地区（中国大陆、海外地区）。选择已添加的网站域名，在日志检索栏，单击开启日志检索功能。说明 您也可以在此页面停用日志检索。如果您停用日志检索功能，则停用期间的访问请求日志不会被记录；即使重新开启日志检索功能，您也无法查询到停用期间的访问请求日志。

前往统计 > 全量日志页面。选择域名，设置查询时间，单击搜索。说明 全量日志功能最多记录最近一个月内的访问日志。

您也可以单击 高级搜索，设置更详细的检索条件。表 1. 高级搜索条件字段描述源IP访问的客户端来源IP。URL关键字访问请求URL。说明 所填写的URL关键字支持包含“/”符号。例如，您可以填写/ntis/cashier。Cookie访问请求头部中带有的访问来源客户端Cookie信息。Referer访问请求头部中带有的访问请求的来源URL信息。User-Agent访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。X-Forwarded-For访问请求头部中带有的XFF头信息。服务器响应状态码源站服务器返回给WAF的响应状态信息。说明 支持最多填写三位数字。同时，支持填写 -符号，搜索无状态信息的访问请求。WAF返回客户端响应码WAF返回给客户端的响应状态信息。说明 支持最多填写三位数字。同时，支持填写 -符号，搜索无状态信息的访问请求。请求唯一ID标识指定访问请求。如果存在访问请求被拦截，可以填写拦截页面中的该请求的ID进行搜索。访问域名当您对泛域名启用全量日志功能，可以利用该字段对一级子域名进行搜索。防护规则选择命中的防护规则类型，包括Web攻击防护、CC防护策略、访问控制策略、区域封禁、数据风控。查看日志检索结果。Status：指WAF返回给客户端的响应状态信息。Upstream_Status：指源站返回给WAF的响应状态信息。如果返回“-”，表示没有响应（例如该请求被WAF拦截或源站响应超时）。Upstream_ip：指该请求所对应的源站IP。例如，WAF回源到ECS的情况，该参数即返回源站ECS的IP。Upstream_time：指源站响应WAF请求的时间。如果返回“-”，代表响应超时。在业务访问量区域，查看检索时间范围内的访问请求量趋势图。

在访问日志列表中，查看符合检索条件的访问请求记录。例如，被CC攻击防护规则拦截的访问请求记录如下图所示。

关于源站响应信息中的参数含义说明单击全量日志页面右上方的日志下载可为当前检索到的日志结果生成下载任务。下载任务生成完成后，在查看下载文件页签中即可将相应格式的日志文件下载到本地。说明 单次最多支持导出2000万条日志。如果您需要导出的日志超过2000万条以上，建议您分多次任务进行导出。日志文件字段说明

字段字段名称描述Time访问时间访问请求的发生时间，在所下载的日志文件中以UTC时间记录。Domain访问域名访问请求的域名。Source_IP来源IP访问的客户端来源IP。IP_City来源IP所属地区访问来源IP所属地区，中国大陆地区可精确到市级。IP_Country来源IP所属国家访问来源IP所属国家。Method访问请求方法访问的请求行中的请求类型。URL访问请求URL访问请求行中的所访问的服务器资源。Https访问请求协议访问请求行中的请求所使用的协议。RefererHTTP Referer字段访问请求头部中带有的访问请求的来源URL信息。User-AgentHTTP User-Agent字段访问请求头部中带有的访问来源客户端浏览器标识、操作系统标识等信息。X-Forwarded-ForHTTP X-Forwarded-For字段访问请求头部中带有的XFF头信息，用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。CookieHTTP Cookie字段访问请求头部中带有的访问来源客户端Cookie信息。Attack_Type防护状态WAF对该访问请求的处理结果：Status响应状态码指WAF返回给客户端的响应状态信息。Upstream_Status源站响应状态码源站返回给WAF的响应状态。如果返回“-”，表示没有响应（例如该请求被WAF拦截或源站响应超时）。Upstream_IP源站响应IP访问请求所对应的源站IP。例如，WAF回源到ECS的情况，该参数即返回源站ECS的IP。Upstream_Time源站响应时间源站响应WAF请求的时间。如果返回“-”，代表响应超时。0：表示未发现攻击1：表示触发Web应用攻击防护规则2：表示触发CC安全防护规则3：表示触发精准访问控制规则4：表示触发地区封禁防护策略5：表示触发数据风控防护策略

文章转载自:http://yun.jinre.com/newsinfo/773276.html