CDNetworks 会跟踪并记录所有检测到的非法流量。通常，每个请求都会受到您设置的多个安全策略的监控，如果同一个请求触发了多个策略，则会被记录为多次攻击。例如，如果某个请求被自动工具检测识别并被 WAF 规则拦截，则会被计为两次攻击，并记录每次攻击的详细信息。

进入攻击日志：

登录CDNetworks控制台，在**“已订阅产品”**下找到正在使用的安全产品。
转到安全部分，安全运营>攻击日志。

过滤数据

选择时间范围、服务组和HOST域名。
点击并选择一个字段、一个运算符和一个值。例如，要按客户端 IP 过滤日志，请选择“客户端 IP”，选择“等于”运算符，然后输入 IP 地址。如果有多个值，请用分号 (; ) 分隔。您还可以禁用或删除输入的查询条件。当您将鼠标悬停在查询字段上时，这些选项将出现。
单击**“查询”** 。

Tips：同一个查询字段的多个值之间是“或”的关系，多个查询字段之间是“与”的关系。例如添加查询条件“客户端IP等于127.0.0.1”AND“状态码等于403 OR 404”，则会查找同时满足客户端IP地址为127.0.0.1，并且状态码为403或404的数据。

支持的运算符

**等于：**搜索字段等于任意指定值的数据。
**不等于：**搜索字段不等于任何指定值的数据。
**包含：**搜索字段包含指定字符串的数据。
**不包含：**搜索字段不包含指定字符串的数据。

字段描述

下表列出了攻击日志支持的字段，部分字段允许填写多个值，每个值之间用英文分号隔开，如无特殊说明，默认不支持填写多个值。

类别	字段	描述	示例
常见	策略类型	表示安全策略下的哪个功能模块阻止了该请求。
	动作	客户端请求匹配的规则或策略的操作。
	客户端IP	客户端的 IP 地址。	123.45.xx.xx
	IP 位置	IP 地址的位置。	弗朗西斯科
	路径	请求的相对路径，请求中域名之后、问号之前的部分，不包括请求参数。	/common/readme.php
	URI	请求的绝对路径，具体指请求中域名后面的部分。	/common/readme.php?uid=212&tpye=content
	请求 ID	请求的唯一标识符。
	事件 ID	请求触发规则后，为事件生成的唯一标识符。
	用户代理	请求头：User-Agent	PostmanRuntime/7.32.3
	引用者	请求头：Referer	http://example.com
	请求方法	请求方法。	获取
	HTTP 版本	HTTP 版本	HTTP/1.1
	API 名称	API 名称。
	响应代码	HTTP 状态代码。	200
IP/地理拦截	策略名称		IP拦截，区域拦截
DDoS 保护	策略名称	表示 DDoS 防护下的哪个子功能模块阻止了该请求。	托管规则集，自适应 DDoS 保护
	规则编号	命中规则的规则ID。
	规则名称
WAF	规则类型	命中规则的类型	SQL 注入
	规则编号	命中规则的ID	5040
	规则名称	命中规则的名称。	Oracle_injection_16
机器人管理	策略名称	表示Bot管理下哪个子功能模块拦截了该请求。	自定义机器人
	机器人类别
	机器人标签
	规则名称	命中规则的名称。	分析动作-1
	用户指纹	针对分配了用户指纹的请求进行Web风险检测。
	浏览器手指	针对指定浏览器指纹的请求进行 Web 风险检测。
	设备指纹	针对请求分配设备指纹的APP风险检测。
自定义规则	规则名称	命中规则的名称。
自定义规则	规则编号	命中规则的ID
频率限制	规则名称	命中规则的名称。
频率限制	规则编号	命中规则的ID
威胁情报	威胁类型

查看日志

查看查询结果时，您将看到过滤器处理的日志命中总数，系统将显示从查询结束起最近的 10,000 条日志。如果您需要查看更多日志，建议您导出 CSV 文件进行查看，每次最多可查看 10,000 条日志。

展开日志，可以看到以下信息：

**策略信息：**显示该请求触发的安全策略和规则，帮助您了解检测到该请求的原因。
**基本信息：**显示请求的基本信息，如请求ID、事件ID、请求方法、路径等。
**原始请求信息：**显示原始请求的头信息。
**客户端信息：**展示客户端的IP、IP的地理位置，以及全站防护生成的唯一身份信息，用于对客户端进行辅助安全检测，如设备指纹、浏览器指纹等。

Media Delivery

Cloud Security

Web Performance

Enterprise Application

Storage

Edge Computing

Console Guide

API Docs

攻击日志

过滤数据

支持的运算符

字段描述

查看日志

目录