访问日志字段
如果未在请求中指定 fields,那么将返回缺省字段的有限集。 使用以下请求查找所有可用字段的完整列表。
ibmcloud cis logpush-available-fields DNS_DOMAIN_ID [--dataset DATASET] [-i, --instance INSTANCE]
数据集
这些可用数据集按日志类别描述了可用字段:
- HTTP / HTTPS 请求 (
http_requests) - 防火墙事件 (
firewall_events) - 活动范围 (
range_events) - DNS日志(
dns_logs)
可用的字段
下表显示了数据集可用的字段。 日志字段可能会发生变化,因此建议使用 “可用日志字段API” 来获取可用字段的最新版本。
HTTP 请求
此表格包含可用于 HTTP 请求的字段。
| 字段 | 值 | 类型 |
|---|---|---|
| BotScore | Cloudflare Bot Score(适用于 Bot Management 客户;请联系您的客户团队启用该功能) | 英特 |
| BotScoreSrc | 计算机器人评分的底层检测引擎或源。 可能的值为 Not Computed Heuristics Machine Learning Behavioral Analysis Verified Bot |
string |
| CacheCacheStatus | unknown miss expired updating stale hit ignored bypass revalidated |
string |
| CacheResponseBytes | 高速缓存返回的字节数 | 英特 |
| CacheTieredFill | 分层高速缓存用于处理此请求 | 布尔值 |
| ClientASN | 客户机 AS 号 | 英特 |
| ClientCountry | 客户机 IP 地址的国家或地区 | string |
| ClientDeviceType | 客户机设备类型 | string |
| ClientIP | 客户机的 IP 地址 | string |
| ClientIPClass | unknown clean badHost searchEngine whitelist greylist monitoringService securityScanner noRecord scan backupService mobilePlatform tor |
string |
| ClientRequestBytes | 客户机请求中的字节数 | 英特 |
| ClientRequestHost | 客户机请求的主机 | string |
| ClientRequestMethod | HTTP 客户请求方法 | string |
| ClientRequestPath | 客户机请求的 URI 路径 | string |
| ClientRequestProtocol | HTTP 客户请求协议 | string |
| ClientRequestReferer | HTTP 请求引用 | string |
| ClientRequestURI | 客户机请求的 URI | string |
| ClientRequestUserAgent | 客户机报告的用户代理程序 | string |
| ClientSSLCipher | 客户机 SSL 密码 | string |
| ClientSSLProtocol | 客户机 SSL (TLS) 协议 | string |
| ClientSrcPort | 客户机源端口 | 英特 |
| ClientXRequestedWith | X-Requested-With HTTP 标题 | string |
| EdgeColoCode | 接收请求的 IATA 机场数据中心代码 | string |
| EdgeColoID | Cloudflare 边缘 colo 标识 | 英特 |
| EdgeEndTimestamp | 边缘完成向客户机发送响应的时间戳记 | int 或字符串 |
| EdgePathingOp | 指示对此请求发出的响应类型 (未知 = 无特定操作) | string |
| EdgePathingSrc | 详细说明如何根据安全检查对请求进行分类 (未知 = 无特定分类) | string |
| EdgePathingStatus | 指示用于确定此请求的处理的数据 (未知 = 无数据) | string |
| EdgeRequestHost | 从边缘到源的请求上的主机头 | string |
| EdgeResponseBytes | 边缘返回给客户机的字节数 | 英特 |
| EdgeResponseCompressionRatio | 边缘响应压缩比率 | 浮点 |
| EdgeResponseContentType | Edge 响应 Content-Type 头值 | string |
| EdgeResponseStatus | HTTP Cloudflare返回给客户端的状态代码 | 英特 |
| EdgeServerIP | 向源发出请求的边缘服务器的 IP | string |
| EdgeStartTimestamp | 边缘接收来自客户机的请求的时间戳记 | int 或字符串 |
| OriginIP | 源服务器的 IP | string |
| OriginResponseHTTPExpires | RFC1123 格式的源“到期”头的值 | string |
| OriginResponseHTTPLastModified | RFC1123 格式的源 "last-modified" 头的值 | string |
| OriginResponseStatus | 源服务器返回的状态 | 英特 |
| OriginResponseTime | 源将响应返回到边缘所花费的纳秒数 | 英特 |
| OriginSSLProtocol | 用于连接到源的 SSL (TLS) 协议 | string |
| ParentRayID | 如果此请求是使用工作程序脚本发出的,那么这是父请求的 Ray 标识 | string |
| RayID | 请求的标识 | string |
| SecurityAction (替换 WAFAction) | 触发终止操作的安全规则的规则操作 (如果有)。 | string |
| SecurityActions (替换 FirewallMatchesActions) | Cloudflare 安全产品对请求执行的操作的数组 | 字符串数组 |
| SecurityRuleID (替换 WAFRuleID) | 触发终止操作的安全规则的规则标识 (如果有)。 | string |
| SecurityRuleIDs (替换 FirewallMatchesRuleIDs) | 触发终止操作的安全规则的规则标识 (如果有)。 | 字符串数组 |
| SecurityRuleDescription (替换 WAFRuleMessage) | 触发终止操作的安全规则的规则描述 (如果有)。 | string |
| SecuritySources (替换 FirewallMatchesSources) | 与请求匹配的 Cloudflare 安全产品的数组 | 字符串数组 |
| 瓦法拉格斯 | 其他配置标志: simulate (0x1) null |
string |
| WAFMatchedVar | 最近匹配的变量的全名 | string |
| WorkerCPUTime | 执行工作程序 (如果有) 所耗用的时间 (以微秒为单位) | 英特 |
| WorkerStatus | 从工作程序守护程序返回的状态 | string |
| WorkerSubrequest | 此请求是否为工作程序子请求 | 布尔值 |
| WorkerSubrequestCount | 处理此请求时工作程序发出的子请求数 | 英特 |
| ZoneName | 区域的可读名称 | string |
“安全规则”是指以下规则类型之一:WAF 管理规则、WAF 自定义规则或 WAF 速率限制规则。
范围请求
下表包含可用于范围请求的字段。
| 字段 | 值 | 类型 |
|---|---|---|
| 应用程序 | 发生事件的应用程序的唯一公共 ID | string |
| ClientAsn | 客户机 AS 号 | 英特 |
| ClientBytes | Spectrum 服务从客户机读取的字节数 | 英特 |
| ClientCountry | 客户机 IP 地址的国家或地区 | string |
| ClientIP | 客户机 IP 地址 | string |
| ClientMatchedIpFirewall | 连接是否与任何 IP 防火墙规则匹配; UNKNOWN ALLOW BLOCK_ERROR BLOCK_IP BLOCK_COUNTRY BLOCK_ASN WHITELIST_IP WHITELIST_COUNTRY WHITELIST_ASN |
string |
| ClientPort | 客户机端口 | 英特 |
| ClientProto | 客户机使用的传输协议; tcp udp unix |
string |
| ClientTcpRtt | 客户机与 Spectrum 之间的 TCP 往返时间 (以纳秒为单位) | 英特 |
| ClientTlsCipher | 客户机与 Spectrum 之间协商的密码 | string |
| ClientTlsClientHelloServerName | 客户机 Hello 消息中从客户机到 Spectrum 的服务器名称 | string |
| ClientTlsProtocol | 客户机与 Spectrum 之间协商的 TLS 版本; unknown none SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 |
string |
| ClientTlsStatus | 指示从客户机到 Spectrum 的 TLS 会话的状态; UNKNOWN OK INTERNAL_ERROR INVALID_CONFIG INVALID_SNI HANDSHAKE_FAILED KEYLESS_RPC |
string |
| ColoCode | 接收请求的 IATA 机场数据中心代码 | string |
| ConnectTimestamp | 建立连接的两条腿 (客户机/边缘,边缘/源或下一个操作) 的时间戳记 | int 或字符串 |
| DisconnectTimestamp | 关闭连接的时间戳记 | int 或字符串 |
| 事件 | connect disconnect clientFiltered tlsError resolveOrigin originError |
string |
| IpFirewall | 在连接时是否已启用 IP 防火墙 | 布尔值 |
| OriginBytes | Spectrum 从源读取的字节数 | 英特 |
| OriginIP | 源 IP 地址 | string |
| OriginPort | Origin Port | 英特 |
| OriginProto | 源使用的传输协议; tcp udp unix |
string |
| OriginTcpRtt | Spectrum 与源之间的 TCP 往返时间 (以纳秒为单位) | 英特 |
| OriginTlsCipher | Spectrum 与源之间协商的密码 | string |
| OriginTlsFingerprint | SHA256 源证书散列 | string |
| OriginTlsMode | 是否以及如何对上游连接进行加密; unknown off flexible full strict |
string |
| OriginTlsProtocol | Spectrum 与源之间协商的 TLS 版本; unknown none SSLv3 TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 |
string |
| OriginTlsStatus | 从 Spectrum 到源的 TLS 会话的状态; UNKNOWN OK INTERNAL_ERROR INVALID_CONFIG INVALID_SNI HANDSHAKE_FAILED KEYLESS_RPC |
string |
| ProxyProtocol | 将哪种形式的代理协议应用于给定的连接; off v1 v2 simple |
string |
| 状态 | 指示连接关闭原因的代码 | 英特 |
| 时间戳记 | 发生事件的时间戳记 | string |
防火墙事件
| 字段 | 值 | 类型 |
|---|---|---|
| 操作 | Cloudflare Firewall 对此请求执行的一级操作的代码 | string |
| ClientASN | 访问者的 ASN 编号 | 英特 |
| ClientASNDescription | 访问者的 ASN (作为字符串) | string |
| ClientCountry | 发出请求的国家或地区 | string |
| ClientIP | 访问者的 IP 地址 (IPv4 或 IPv6) | string |
| ClientIPClass | 访问者 IP 地址的分类,可能的值为: unknown clean badHost searchEngine whitelist greylist monitoringService securityScanner noRecord scan backupService mobilePlatform tor |
string |
| ClientRefererHost | referer 主机 | string |
| ClientRefererPath | 访问者请求的引用路径 | string |
| ClientRefererQuery | 访问者请求了 referer query-string | string |
| ClientRefererScheme | 访问者请求的 referer URL 方案 | string |
| ClientRequestHost | 访问者请求的 HTTP 主机名 | string |
| ClientRequestMethod | 访客使用的 HTTP 方法 | string |
| ClientRequestPath | 访问者请求的路径 | string |
| ClientRequestProtocol | 访问者请求的 HTTP 协议版本 | string |
| ClientRequestQuery | 访问者请求了 query-string | string |
| ClientRequestScheme | 访问者请求的 URL 方案 | string |
| ClientRequestUserAgent | 访问者的用户代理字符串 | string |
| 日期时间 | 事件在边缘发生的日期和时间 | int 或字符串 |
| 描述 | 由请求触发的规则的描述 | string |
| EdgeColoCode | 提供此请求的 Cloudflare 数据中心的机场代码 | string |
| EdgeResponseStatus | HTTP 返回浏览器的响应状态代码 | 英特 |
| 种类 | 事件的种类,目前唯一可能的值是 firewall |
string |
| MatchIndex | 规则与链中的索引匹配 | 英特 |
| 元数据 | 其他特定于产品的信息。 元数据按“键/值”对进行组织。 密钥和值格式可能因 Cloudflare 安全产品而异,并且会随时间变化 | 对象 |
| OriginResponseStatus | HTTP 原始响应状态代码返回到浏览器 | 英特 |
| OriginatorRayID | 发出了 challenge/jschalchallenge 的请求的 RayID | string |
| RayID | RayID | string |
| 引用 | 由请求触发的规则的用户定义标识 | string |
| RuleID | 此请求触发的特定于 Cloudflare 安全性产品的 RuleID | string |
| 源 | 此请求触发的 Cloudflare 安全产品 | string |
DNS 日志
| 字段 | 值 | 类型 |
|---|---|---|
| ColoCode | 接收请求的 IATA 机场数据中心代码 | string |
| EDNSSubnet | EDNS 客户机子网 (IPv4 或 IPv6) | string |
| EDNSSubnetLength | EDNS 客户机子网长度 | 英特 |
| QueryName | 发送的查询的名称 | string |
| QueryType | 查询类型的整数值 | 英特 |
| ResponseCached | 是否对响应进行了高速缓存 | 布尔值 |
| ResponseCode | 响应代码的整数值 | 英特 |
| SourceIP | 客户机的 IP 地址 (IPv4 或 IPv6) | string |
| 时间戳记 | 发生查询的时间戳记 | int 或字符串 |
弃用字段
未在 可用日志字段 API 中显示的日志字段将被视为过时字段。 过时的日志字段仍然可用,以防止中断现有作业。 但是,如果 Cloudflare 完全删除这些日志字段,它们最终可能会变成空值。 如果客户正在使用过时的字段,我们鼓励他们放弃使用。