访问日志字段
如果未在请求中指定 fields,那么将返回缺省字段的有限集。 使用以下请求查找所有可用字段的完整列表。
ibmcloud cis logpush-available-fields DNS_DOMAIN_ID [--dataset DATASET] [-i, --instance INSTANCE]
数据集
这些可用数据集按日志类别描述了可用字段:
- HTTP / HTTPS 请求 (
http_requests) - 防火墙事件 (
firewall_events) - 活动范围 (
range_events) - DNS日志(
dns_logs)
可用的字段
下表显示了数据集可用的字段。 日志字段可能会发生变化,因此建议使用 “可用日志字段API” 来获取可用字段的最新版本。
HTTP 请求
本表包含 http_requests 可用的字段。
| 字段 | 描述 | 类型 |
|---|---|---|
| BotDetectionIDs | 与机器人管理启发式检测请求相关的 ID 列表。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | [数组] |
| BotDetectionTags | 与机器人管理启发式检测请求相关的标签列表。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | [arraystring] |
| BotScore | Cloudflare 僵尸得分。 低于 30 分通常与自动流量有关。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | 英特 |
| BotScoreSrc | Heuristics |
\ |
| BotTags | 僵尸流量类型(如有)。 有关潜在值列表,请参阅机器人标签。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | [arraystring] |
| CacheCacheStatus | miss |
\ |
| CacheReserveUsed | 缓存储备被用来满足这一请求。 | 布尔值 |
| CacheResponseBytes | 缓存返回的字节数。 | 英特 |
| CacheResponseStatus | HTTP 缓存向边缘返回的状态代码。 所有请求(包括不可缓存的请求)都要经过缓存。 | 英特 |
| CacheTieredFill | 使用分层缓存为该请求提供服务。 | 布尔值 |
| ClientASN | 客户 AS 编号。 | 英特 |
| ClientCity | 客户所在城市的大致位置。 | string |
| ClientCountry | 客户 IP 地址的 2 个字母 ISO-3166 国家代码。 | string |
| ClientDeviceType | 客户端设备类型。 | string |
| ClientIP | 客户机的 IP 地址。 | string |
| ClientIPClass | badHost | searchEngine | allowlist | monitoringService | noRecord | scan | tor. |
string |
| ClientLatitude | 客户的大致纬度。 | string |
| ClientLongitude | 客户的大致经度。 | string |
| ClientMTLSAuthCertFingerprint | mTLS 身份验证过程中客户端提交的证书的 SHA256 指纹。 仅在 mTLS 连接上的首次请求时输入。 | string |
| ClientMTLSAuthStatus | ok | absent | untrusted | notyetvalid | expired. |
string |
| ClientRegionCode | ISO-3166-2 客户端 IP 地址的地区代码。 | string |
| ClientRequestBytes | 客户端请求的字节数。 | 英特 |
| ClientRequestHost | 客户请求的主机。 | string |
| ClientRequestMethod | HTTP 客户请求的方法。 | string |
| ClientRequestPath | 客户端请求的 URI 路径。 | string |
| ClientRequestProtocol | HTTP 客户端请求的协议。 | string |
| ClientRequestReferer | HTTP 请求推荐人。 | string |
| ClientRequestScheme | 游客要求的 URL 方案。 | string |
| ClientRequestSource | 将请求识别为来自外部源或 Cloudflare 内的其他服务。 有关潜在值列表,请参阅 ClientRequestSource 字段。 | string |
| ClientRequestURI | 客户请求的 URI。 | string |
| ClientRequestUserAgent | 客户端报告的用户代理。 | string |
| ClientSSLCipher | 客户端 SSL 密码。 | string |
| ClientSSLProtocol | 客户端 SSL (TLS) 协议。 无 "表示不使用 SSL。 | string |
| ClientSrcPort | 客户端源端口。 | 英特 |
| ClientTCPRTTMs | TCP 往返时间的平滑平均值 (SRTT)。 对于连接上的初始请求,仅在连接设置期间进行测量。 对于同一连接上的后续请求,则在整个连接有效期内进行测量,直到收到该请求为止。 | 英特 |
| ClientXRequestedWith | X-Requested-With HTTP 标头。 | string |
| ContentScanObjResults | 内容扫描结果列表。 | [arraystring] |
| ContentScanObjSizes | 内容对象大小列表。 | [数组] |
| ContentScanObjTypes | 内容类型列表。 | [arraystring] |
| Cookie | Cookies 的字符串键值对。 此字段根据 Logpush 自定义字段填充,需要对其进行配置。 | 对象 |
| EdgeCFConnectingO2O | 如果请求循环通过 Cloudflare 边缘的多个区域,则为 True。 这被视为橙色到橙色 ( O2O ) 的请求。 | 布尔值 |
| EdgeColoCode | 接收请求的数据中心的 IATA 机场代码。 | string |
| EdgeColoID | Cloudflare 边缘数据中心 ID。 | 英特 |
| EdgeEndTimestamp | 边缘完成向客户端发送响应的时间戳。 | int 或字符串 |
| EdgePathingOp | 表示对该请求发出了哪种类型的回复(未知 = 无特定操作)。 | string |
| EdgePathingSrc | 根据安全检查对申请进行分类的详细信息(未知 = 无具体分类)。 | string |
| EdgePathingStatus | 表示使用了哪些数据来确定对该请求的处理(未知 = 无数据)。 | string |
| EdgeRequestHost | 从边缘到原点请求的主机标头。 | string |
| EdgeResponseBodyBytes | HTTP 返回给客户端的响应体的大小。 | 英特 |
| EdgeResponseBytes | 边缘返回客户端的字节数。 | 英特 |
| EdgeResponseCompressionRatio | 边缘响应压缩率是根据原始响应和压缩响应大小之比计算得出的。 | 浮点 |
| EdgeResponseContentType | 边缘响应 Content-Type 头值。 | string |
| EdgeResponseStatus | HTTP 由 Cloudflare 返回给客户端的状态代码。 | 英特 |
| EdgeServerIP | 向原点发出请求的边缘服务器的 IP 地址。 可能的响应是 IPv4 或 IPv6 格式的字符串,或空字符串。 空字符串表示没有向源服务器发出请求。 | string |
| EdgeStartTimestamp | 边缘收到客户端请求的时间戳。 | int 或字符串 |
| EdgeTimeToFirstByteMs | 在 Cloudflare 边缘测量的第一个字节所需时间总览。 从 TCP 连接建立后开始,到 Cloudflare 开始向眼球返回响应的第一个字节时结束。 包括 TLS 握手时间(新连接)和源响应时间。 | 英特 |
| JA3Hash | MD5 用于描述 SSL/TLS 客户端的 JA3 指纹的哈希值。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | string |
| JA4 | 用于描述 SSL/TLS 客户端的 JA4 指纹。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | string |
| JA4Signals | 为 JA4 指纹计算的请求间统计数据。 JA4Signals 字段以键:值对的形式组织,其中值为数字。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 | 对象 |
| JSDetectionPassed | failed |
失踪。 仅适用于机器人管理客户。 要启用此功能,请联系您的客户团队。 |
| OriginDNSResponseTimeMs | 收到源名称的 DNS 响应所需的时间。 通常需要几毫秒,但如果使用 CNAME 记录,可能需要更长的时间。 | 英特 |
| OriginIP | 源服务器的 IP。 | string |
| OriginRequestHeaderSendDurationMs | 建立连接后向原点发送请求标头所需的时间。 请注意,该值通常为 0。 |
英特 |
| OriginResponseBytes | 源服务器返回的字节数。 | 英特 |
| OriginResponseDurationMs | 上游响应时间,从收到请求的第一个数据中心开始测量。 包括智能路由和分层缓存所需的时间,以及连接和接收源服务器响应的时间。 该字段取代 OriginResponseTime。 | 英特 |
| OriginResponseHTTPExpires | RFC1123 格式的原点 "expires "标头值。 | string |
| OriginResponseHTTPLastModified | RFC1123 格式的 origin "last-modified "标头值。 | string |
| OriginResponseHeaderReceiveDurationMs | Cloudflare 完成发送请求头后,源返回响应头所需的时间。 | 英特 |
| OriginResponseStatus | 上游服务器返回的状态。 0 表示没有向源服务器发出请求,响应由 Cloudflare Edge 提供。 但是,如果区段上运行了 Edge 功能,则 0 的值可能是向原点发出的 Edge 功能子请求的结果。 |
英特 |
| OriginResponseTime | 原点向边缘返回响应所需的纳秒数。 | 英特 |
| OriginSSLProtocol | 用于连接原点的 SSL (TLS) 协议。 | string |
| OriginTCPHandshakeDurationMs | 与原点完成 TCP 握手所需的时间。 如果原点连接被重复使用,0。 |
英特 |
| OriginTLSHandshakeDurationMs | 与原点完成 TLS 握手所需的时间。 如果原点连接被重复使用,0。 |
英特 |
| ParentRayID | 父请求的 Ray ID(如果该请求使用 Edge 功能脚本)。 | string |
| RayID | 请求的 ID。 | string |
| RequestHeaders | RequestHeaders 的字符串键值对。 此字段根据 Logpush 自定义字段填充,需要对其进行配置。 | 对象 |
| ResponseHeaders | ResponseHeaders 的字符串键值对。 此字段根据 Logpush 自定义字段填充,需要对其进行配置。 | 对象 |
| SecurityAction | 触发终止操作的安全规则的操作(如果有)。 | string |
| SecurityActions | allow | block | challenge | jschallenge | log | connectionClose | challengeSolved | challengeBypassed | jschallengeSolved | jschallengeBypassed | bypass | managedChallenge | managedChallengeNonInteractiveSolved | managedChallengeInteractiveSolved | managedChallengeBypassed |
rewrite | forceConnectionClose | skip. |
[arraystring] |
| SecurityRuleDescription | 触发终止操作的安全规则描述(如果有)。 | string |
| SecurityRuleID | 触发终止操作的安全规则的规则标识 (如果有)。 | string |
| SecurityRuleIDs | 与请求匹配的安全产品的规则 ID 数组。 与规则 ID 相关的安全产品可在 SecuritySources 中找到。 数组的长度与 SecurityActions 和 SecuritySources 相同。 | [arraystring] |
| SecuritySources | asn | country | ip | ipRange | securityLevel | zoneLockdown | waf | firewallRules | uaBlock | rateLimit | bic | hot | l7ddos | validation | botFight | apiShield | botManagement | dlp | firewallManaged | firewallCustom | apiShieldSchemaValidation | apiShieldTokenValidation | apiShieldSequenceMitigation. |
[arraystring] |
| SmartRouteColoID | 如果使用智能路由,用于连接源服务器的 Cloudflare 数据中心。 | 英特 |
| UpperTierColoID | 如果使用分层缓存,则检查缓存副本的“上层”数据中心。 | 英特 |
| VerifiedBotCategory | 已验证的机器人类别。 | string |
| WAFAttackScore | WAF 检测模块生成的总体请求得分。 | 英特 |
| 瓦法拉格斯 | null. |
string |
| WAFMatchedVar | TLS 模式:最近匹配变量的灵活名称。 | string |
| WAFRCEAttackScore | RCE 攻击的 WAF 分数。 | 英特 |
| WAFSQLiAttackScore | SQLi 攻击的 WAF 分数。 | 英特 |
| WAFXSSAttackScore | XSS 攻击的 WAF 分数。 | 英特 |
| WorkerCPUTime | 执行 Edge 功能所用的时间(如果有),以微秒为单位。 | 英特 |
| WorkerScriptName | 发出请求的 Edge 功能脚本名称。 | string |
| WorkerStatus | 边缘功能守护进程返回的状态。 | string |
| WorkerSubrequest | 该请求是否为 Edge 功能子请求。 | 布尔值 |
| WorkerSubrequestCount | Edge 函数处理该请求时发出的子请求数。 | 英特 |
| WorkerWallTimeUs | 从开始调用 Edge 功能到 Edge 功能运行时确定不再需要运行 JavaScript 之间的经过时间,以微秒为单位。 具体来说,它测量的是 JavaScript 上下文保持打开的挂钟时间。 例如,当返回一个包含大量正文的响应时,Edge 功能运行时在某些情况下会判断不再需要运行 JavaScript,并在所有字节通过并发送之前关闭 JS 上下文。 另外,如果您使用 waitUntil() API 执行工作而不阻塞响应的返回,那么在响应返回后,该工作可能会继续执行,并将包含在
Edge functionWallTimeUs 中。 |
英特 |
| ZoneName | 区的可读名称(例如," cloudflare.com ")。 | string |
DNS 日志
该表包含 dns_logs 可用的字段。
| 字段 | 描述 | 类型 |
|---|---|---|
| ColoCode | 接收请求的数据中心的 IATA 机场代码。 | string |
| EDNSSubnet | IPv4 或 与递归解析器转发的 IPv6 EDNS 客户子网(ECS) 相对应的地址信息。 并非所有解析器都会发送此信息。 | string |
| EDNSSubnetLength | EDNS 客户端子网 (ECS) 的大小(位)。 例如,如果省略 IPv4 地址的最后一个八位位组 (192.0.2.x.),子网长度将为 24。 |
英特 |
| QueryName | 已发送查询的名称。 | string |
| QueryType | 查询类型的整数值。( iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-4 )。 | 英特 |
| ResponseCached | 是否缓存了响应。 | 布尔值 |
| ResponseCode | 响应代码的整数值。( iana.org/assignments/dns-parameters/dns-parameters.xhtml#dns-parameters-6 )。 | 英特 |
| SourceIP | 客户端的 IP 地址( IPv4 或 IPv6 )。 | string |
| 时间戳记 | 查询发生的时间戳。 | int 或字符串 |
范围请求
此表包含 range_events 可用的字段。
| 字段 | 描述 | 类型 |
|---|---|---|
| 应用程序 | 发生事件的应用程序的唯一公共 ID。 | string |
| ClientAsn | 客户 AS 编号。 | 英特 |
| ClientBytes | 范围服务从客户端读取的字节数。 | 英特 |
| ClientCountry | 客户 IP 地址所在国家。 | string |
| ClientIP | 客户机 IP 地址。 | string |
| ClientMatchedIpFirewall | ALLOW | BLOCK_ERROR | BLOCK_IP | BLOCK_COUNTRY | BLOCK_ASN | WHITELIST_IP | WHITELIST_COUNTRY | WHITELIST_ASN. |
string |
| ClientPort | 客户端口。 | 英特 |
| ClientProto | udp | unix. |
string |
| ClientTcpRtt | 客户端与 Range 之间的 TCP 往返时间(纳秒)。 | 英特 |
| ClientTlsCipher | 客户端与 Range 之间协商的密码。 未知密码返回 "UNK" | string |
| ClientTlsClientHelloServerName | 客户端向 Range 发送的“客户端你好”信息中的服务器名称。 | string |
| ClientTlsProtocol | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3. |
string |
| ClientTlsStatus | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC. |
string |
| ColoCode | 接收请求的数据中心的 IATA 机场代码。 | string |
| ConnectTimestamp | 连接两端(客户端/边缘、边缘/起始端或 nexthop)建立的时间戳。 | int 或字符串 |
| DisconnectTimestamp | 连接关闭的时间戳。 | int 或字符串 |
| 事件 | connect | disconnect | clientFiltered | tlsError | resolveOrigin | originError. |
string |
| IpFirewall | 连接时是否启用了 IP 防火墙。 | 布尔值 |
| OriginBytes | Range 从原点读取的字节数。 | 英特 |
| OriginIP | 原 IP 地址。 | string |
| OriginPort | 始发港。 | 英特 |
| OriginProto | udp | unix. |
string |
| OriginTcpRtt | 范围与原点之间的 TCP 往返时间(纳秒)。 | 英特 |
| OriginTlsCipher | Range 和原点之间协商的密码。 未知密码返回 "UNK" | string |
| OriginTlsFingerprint | SHA256 原产地证书哈希值。 未知的 SHA256 哈希值将以空字符串返回。 | string |
| OriginTlsMode | off | TLS Mode:TLS Mode:TLS Mode:CA 已签名。 |
string |
| OriginTlsProtocol | none | SSLv3 | TLSv1 | TLSv1.1 | TLSv1.2 | TLSv1.3. |
string |
| OriginTlsStatus | OK | INTERNAL_ERROR | INVALID_CONFIG | INVALID_SNI | HANDSHAKE_FAILED | KEYLESS_RPC. |
string |
| ProxyProtocol | v1 | v2 | simple. |
string |
| 状态 | 表示连接关闭原因的代码。 | 英特 |
| 时间戳记 | 事件发生的时间戳。 | int 或字符串 |
防火墙事件
本表包含可用于 firewall_events 的字段。
| 字段 | 描述 | 类型 |
|---|---|---|
| 操作 | allow | block | challenge | jschallenge | log | connectionclose | challengesolved | challengebypassed | jschallengesolved | jschallengebypassed | bypass | managedchallenge | managedchallengenoninteractivesolved | managedchallengeinteractivesolved | managedchallengebypassed. |
string |
| ClientASN | 访问者的 ASN 编号。 | 英特 |
| ClientASNDescription | 访问者的 ASN(字符串)。 | string |
| ClientCountry | 请求来自的国家。 | string |
| ClientIP | 访问者的 IP 地址 ( IPv4 或 IPv6 )。 | string |
| ClientIPClass | badHost | searchEngine | allowlist | monitoringService | noRecord | scan | tor. |
string |
| ClientRefererHost | 推荐人主机。 | string |
| ClientRefererPath | 访问者请求的引用路径。 | string |
| ClientRefererQuery | 访问者请求引用查询字符串。 | string |
| ClientRefererScheme | 访问者要求的引用程序 URL 方案。 | string |
| ClientRequestHost | 访问者请求的 HTTP 主机名。 | string |
| ClientRequestMethod | 游客使用的 HTTP 方法。 | string |
| ClientRequestPath | 访客请求的路径。 | string |
| ClientRequestProtocol | 访问者要求的 HTTP 协议版本。 | string |
| ClientRequestQuery | 查询字符串由访问者请求。 | string |
| ClientRequestScheme | 游客要求的 URL 方案。 | string |
| ClientRequestUserAgent | 访客的用户代理字符串。 | string |
| ContentScanObjResults | 内容扫描结果列表。 | [arraystring] |
| ContentScanObjSizes | 内容对象大小列表。 | [数组] |
| ContentScanObjTypes | 内容类型列表。 | [arraystring] |
| 日期时间 | 边缘事件发生的日期和时间。 | int 或字符串 |
| 描述 | 该请求触发的规则描述。 | string |
| EdgeColoCode | 为该请求提供服务的 Cloudflare 数据中心的机场代码。 | string |
| EdgeResponseStatus | HTTP 返回浏览器的响应状态代码。 | 英特 |
| 种类 | 事件类型,目前可能的值只有:防火墙。 | string |
| MatchIndex | 规则匹配链中的索引。 最后一条匹配规则将有 MatchIndex 0。 如果在最后一条规则之前有另一条规则匹配,则 MatchIndex 1。 这同样适用于任何其他匹配规则,这些规则的 MatchIndex 值为 2、3,以此类推。 |
英特 |
| 元数据 | 其他特定于产品的信息。 元数据按“键/值”对进行组织。 密钥和值格式可能因 Cloudflare 安全产品而异,并可能随时间而变化。 | 对象 |
| OriginResponseStatus | HTTP 返回浏览器的 origin 响应状态代码。 | 英特 |
| OriginatorRayID | 发出挑战/jschallenge 的请求的 RayID。 | string |
| RayID | 请求的 RayID。 | string |
| 引用 | 用户自定义的由该请求触发的规则标识符。 使用 refs 可在 Cloudflare 提供的 RuleID 中单独标记您的规则。 您可以通过某些安全产品的 Rulesets API 设置引用。 | string |
| RuleID | 由该请求触发的 Cloudflare 安全产品特定 RuleID。 | string |
| 源 | asn | country | ip | iprange | securitylevel | zonelockdown | waf | firewallrules | uablock | ratelimit | bic | hot | l7ddos | validation | botfight | apishield | botmanagement | dlp | firewallmanaged | firewallcustom | apishieldschemavalidation | apishieldtokenvalidation | apishieldsequencemitigation. |
string |