云防火墻自動實時采集并存儲出入方向的流量日志,您可以通過指定日志字段快速查詢所需的日志內容,方便您進行日志分析和故障排查。本文為您介紹云防火墻日志字段含義以及支持索引的日志字段。
防火墻日志字段
互聯網邊界防火墻
NAT邊界防火墻
VPC邊界防火墻
支持索引的字段
日志字段說明
字段名稱 | 字段說明 | 示例值 |
__time__ | 在Logstore寫入日志數據時的日志時間。 | 1703483369 |
__topic__ | 日志的主題。取值固定為cloudfirewall_access_log,表示云防火墻的流量日志。 | cloudfirewall_access_log |
acl_rule_id | 流量命中的訪問控制策略ID。 取值為00000000-0000-0000-0000-000000000000時,表示未命中任何訪問控制策略。 | 073a1475-6e11-43e2-8b28-98cee9c6**** |
aliuid | 阿里云賬號ID。 | 1233333333**** |
app_dpi_state | 應用識別狀態。取值:
| success |
app_name | 流量的應用類型。取值:HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown(協議為未知類型)等。 | HTTPS |
attack_type_name | 流量包含的攻擊類型的中文名稱。 | 挖礦行為 |
attack_type_name_en | 流量包含的攻擊類型的英文名稱。 | Mining Behavior |
country_id | 國家或地區,取值采用ISO 3166-1國際標準中的兩位字母代碼。
| CN |
city_id | 用于表示城市的唯一標識符。取值采用中國縣以上六位數字行政區劃代碼,您可以通過中國行政區劃代碼查詢對應的城市代碼,例如北京市:110000。 | 110000 |
cloud_instance_id | 防護的資產實例ID。 | ngw-bp1d5bx2orlw1p2wn**** |
direction | 流量的方向。取值:
說明 VPC邊界防火墻無出入方向概念,direction字段默認取值out。 | in |
domain | 流量的目的域名。 說明 僅當流量攜帶域名信息時,才會顯示該字段的值。 | www.aliyundoc.com |
dst_ip | 流量的目的IP。 | 39.108.XX.XX |
dst_network_instance_id | 流量目的網絡實例。 | vpc-bp18ina819injc9zs**** |
dst_port | 流量的目的端口。 | 443 |
dst_region | 流量目的地域。 | cn-beijing |
end_time | 會話結束時間。使用Unix時間戳格式表示,單位:秒。 | 1702367350 |
firewall_id | VPC防火墻實例ID。 | cen-m9y9u2hgc0t9im**** |
in_bps | 入方向流量速率。單位:bit/s。 | 42 |
in_packet_bytes | 入方向流量大小。單位:Byte。 | 58 |
in_packet_count | 入方向流量包的數量。 | 1 |
in_pps | 入方向流量包平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小于1個/秒時,該字段顯示0,不會顯示小數位。 | 1 |
ip_protocol | IP協議類型。取值:
| tcp |
ips_ai_rule_id | 流量命中的智能推薦訪問控制策略的ID。 取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中任何智能推薦訪問控制策略。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_id | 流量命中的入侵防御規則的ID。 取值為00000000-0000-0000-0000-000000000000,表示未匹配或未命中入侵防御規則。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_name | 流量命中的入侵防御規則的中文名稱。 | 主機存在挖礦行為 |
ips_rule_name_en | 流量命中的入侵防御規則的英文名稱。 | Mining behavior on the host |
log_type | 日志類型。取值:
| internet_log |
loose_allow_acl_id | 預匹配訪問控制策略ID。取值:
| 00000000-0000-0000-0000-000000000000 |
new_conn | 是否新建連接。取值:
| 1 |
out_bps | 出方向流量速率。單位:bit/s。 | 0 |
out_packet_bytes | 出方向流量大小。單位:Byte。 | 0 |
out_packet_count | 出方向流量包的數量。 | 0 |
out_pps | 出方向流量包平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小于1個/秒時,該字段顯示0,不會顯示小數位。 | 0 |
region_id | 地域ID。不同地域ID的含義,請參見支持的地域。
| cn-beijing |
rule_result | 流量命中訪問控制策略后的執行動作。取值:
流量命中入侵防御事件的執行動作。取值:
| alert |
rule_source | 流量命中的策略來源。取值:
| basic_acl |
src_ip | 流量的源IP。 | 167.94.XX.XX |
src_network_instance_id | 流量源網絡實例。 | vpc-bp18ina819injc9zs**** |
src_port | 流量的源端口,即發出流量數據的主機端口。 | 47915 |
src_region | 流量源地域。 | cn-beijing |
src_vpc_id | 流量源VPC的ID。 | vpc-bp18ina819injc9zs**** |
start_time | 會話開始時間。使用Unix時間戳格式表示,單位:秒。 | 1701759171 |
start_time_min | 會話開始時間,分鐘級別。使用Unix時間戳格式表示,單位:秒。 | 1701759120 |
tcp_seq | TCP序列號。 | 388367**** |
total_bps | 出入方向的總傳輸速率。單位:bit/s。 | 42 |
total_packet_bytes | 出入方向的總流量大小。單位:byte。 | 58 |
total_packet_count | 出入方向的總流量包數量。 | 1 |
total_pps | 出入方向總流量包的平均每秒傳輸速率。單位:個/秒。 說明 傳輸速率小于1個/秒時,該字段顯示0,不會顯示小數位。 | 0 |
url | 服務器訪問的互聯網網站URL地址。 說明 僅當app_name取值為HTTP時,才會顯示該字段的值。 | http://aliyundoc.com/index.html |
vul_level | 惡意流量命中的漏洞風險等級。取值:
| 1 |