使用云安全后,能下载完整的访问日志、攻击日志、CC攻击日志吗?

可以的,日志下载功能位置:控制台 -> 日志审计 ->日志下载,目前仅对部分收费用户开放。

目前仅支持部分套餐版本日志下载,客户每天登陆知道创宇平台可下载最近7天日志,最近日志延迟2小时生成,其中当天可按小时下载,当天以前以天为单位下载。

如果网站在云安全上开通正常,而域名没有按云安全要求实际接入进来或网站没有任何流量访问,不会生成日志,日志下载链接为404。

日志分为:普通访问日志(access)、入侵攻击拦截日志(attack)、CC攻击日志(anticc)。

注意:您下载的文件为gzip压缩文件,请使用压缩类软件(如winrar、7z等)解压后,再查看。同时知道创宇对于大客户提供日志下载API,如有需要,请联系您的客户经理。

一、普通访问日志、入侵攻击拦截日志

日志预留字段说明:

1、导出的日志中,“-”为日志预留字段,不代表任何含意。

2、日志中的〈SP〉代表空格。

除预留字段外,其它日志字段分别为:

1、请求时间

2、请求耗时(单位为秒)

3、攻击类型(attack攻击日志中含有,正常访问日志中为“-”)

4、是否拦截(BAN:拦截;IP_WHITE:IP白名单放行;URL_WHITE:网址白名单放行;CATEGORY_OFF:因关闭特定检测类型放行;WAF_USER_OFF: 网站管理员通过控制面板关闭防火墙放行;WAF_ADMIN_OFF:云安全管理员关闭防火墙放行;RULE_ID:策略白名单放行;TEST_RULE:测试规则放行;)

5、客户端IP

6、代理IP(格式为客户端IP,代理IP1,代理IP2…,如未使用代理,则只有客户端IP)

7、域名

8、URL

9、请求方法(GET、POST、HEAD等)

10、Referer

11、缓存命中情况(CDN缓存命中情况,hit为命中,bypass为不缓存,miss为未命中,error为错误[404等])

12、状态码

13、页面大小

14、User-Agent

攻击日志中攻击类型一列各标识符含义见:http://help.yunaq.com/faq/334/

二、CC攻击日志格式说明:

1、告警时间,如2017-07-19T10:57:09

2、攻击IP

3、被攻击域名,如www.xxx.com

4、被攻击路径,如“/index.php”,”…”表示有多个URL同时被攻击,一般个数较多,用…代表。

5、是否拦截,Y表示拦截,N表示未拦截