可以的,日志下载功能位置:控制台 -> 抗D保/创宇盾/加速乐 -> 日志下载,该功能目前仅对部分套餐客户开放。
注意:对日请求数大于1亿的网站,云安全会根据网站日志量级分级对网站进行包括自助下载暂停、日志存留字段精简等处理。
根据《中华人民共和国网络安全法》规定,知道创宇对所有服务的客户网站日志均会存储6个月以上,最近日志最多延迟2小时生成。对部分套餐客户提供最近7天日志下载服务,其中当天可按小时下载,当天以前按天下载。
如果网站在云安全上开通正常,但域名没有按云安全要求实际接入进来,或网站没有任何访问和攻击,则不会生成日志。
您下载的文件为gzip压缩文件,请使用压缩类软件(如winrar、7z等)解压后,再查看。
同时知道创宇对于大客户提供日志下载API,如有需要,请联系您的客户经理。
日志分为:访问日志(access)、攻击拦截日志(attack)、CC攻击日志(anticc)。
一、访问日志、攻击拦截日志格式说明
日志预留字段:
1、导出的日志中,“-”为日志预留字段,不代表任何含意。
2、日志中的〈SP〉代表空格。
3、<||> 代表复用分割符。
其它日志字段:
1、请求时间
2、请求耗时(单位为秒)
3、攻击类型 / 防护类型(在攻击日志中表示攻击类型,在访问日志中表示防护类型,类型标识符含义见附录1:攻击类型和防护类型)
4、拦截类型(类型标识符含义见附录2:拦截类型)
5、客户端IP
6、代理IP(格式为客户端IP,代理IP1,代理IP2…,如未使用代理,则只有客户端IP)
7、域名
8、URL
9、请求方法(GET、POST、HEAD等)
10、Referer
11、缓存命中状态(hit为命中,bypass为不缓存,miss为未命中,error为错误[404等])
12、状态码
13、页面大小
14、User-Agent
15、端口+协议类型
16、规则ID
17、客户端源端口
二、CC攻击日志格式说明
1、告警时间(如2017-07-19T10:57:09)
2、攻击IP
3、被攻击域名(如www.xxx.com)
4、被攻击路径(如“/index.php”,”…”表示有多个URL同时被攻击,一般个数较多,用…代表。)
5、拦截状态(Y表示拦截,N表示未拦截(观察模式),L1表示基础引擎限速,L2表示超单IP访问频次阈值限速,L3表示超单IP流量阈值限速。)
附录1:攻击类型和防护类型
攻击类型:
含义见:http://help.yunaq.com/faq/334/
防护类型:
1、CC防火墙 — 高级防护(CC_SP)
2、CC防火墙 — AI防护(常态)– 高危IP(CC_AI_H)
3、CC防火墙 — AI防护(常态)– 中危IP(CC_AI_M)
4、CC防火墙 — AI防护(常态)– 低危IP(CC_AI_L)
5、CC防火墙 — AI防护(常态)– 普通IP(CC_AI_N)
6、CC防火墙 — AI防护(动态)– 高危IP(CC_DYNAMIC_H)
7、CC防火墙 — AI防护(动态)– 中危IP(CC_DYNAMIC_M)
8、CC防火墙 — AI防护(动态)– 低危IP(CC_DYNAMIC_L)
9、CC防火墙 — AI防护(动态)– 普通IP(CC_DYNAMIC_N)
10、智能引擎(ML_CC)
11、专家系统(CCERS)
附录2:拦截类型
1、BAN:拦截
2、IP_WHITE:IP白名单放行
3、URL_WHITE:网址白名单放行
4、CATEGORY_OFF:因关闭特定检测类型放行
5、WAF_USER_OFF: 网站管理员通过控制面板关闭防火墙放行
6、WAF_ADMIN_OFF:云安全管理员关闭防火墙放行
7、RULE_ID:策略白名单放行
8、TEST_RULE:测试规则放行
9、JS:人机识别
10、CAPTCHA:验证码
11、JSPAGE:AI识别
12、CC_PAC_WHITE:CC策略控制放行
13、PAC_CAPTCHA:精准访问控制-验证码
14、PAC_JS_CHALLENGE:精准访问控制-JS挑战
15、PAC_LOG:精准访问控制-记录
16、PAC_WHITE:精准访问控制放行