访问日志
2026/6/30大约 4 分钟
访问日志
功能简介
访问日志页面记录每一次经过 WAF 的原始访问请求,无论放行、阻止还是禁止都会逐条记录,便于按时间、网站、来源 IP、规则、状态码等多种条件检索单条访问,并下钻到完整的访问详情。
提示:访问日志按「逐条请求」展示;如需以来源 IP 为维度聚合查看触发规则的攻击情况,请使用「风险日志」。
页面包含三部分:可折叠的日志配置、搜索筛选区,以及访问记录列表。
操作步骤
1. 查询与筛选
在顶部表单中按需填写条件,点击 查询 执行检索,点击 重置 清空条件:
- 选择网站、填写规则名称、访问识别码、访问状态、响应码、来源 IP、访问日期(时间区间)、访问方法、日志归档库等。
- 列表表头部分字段(访客身份、访问识别码、Header)支持直接在列上输入关键字过滤,按回车确认。
- 点击列头可对「耗时」「AI 得分」「时间」等列排序。
2. 查看访问详情
- 在某行点击 详情,进入该条记录的完整访问详情页(请求/响应、耗时、地区等信息)。
- 点击 查询来源 IP 可快速以该行的来源 IP 作为条件再次查询。
3. 将来源 IP 加入黑名单
- 在来源 IP 列每个 IP 旁有 加入不允许访问 按钮,点击并确认后即可把该 IP 加入该网站的拦截名单。
4. 导出日志(仅 SQLite)
- 当当前日志归档库为文件型(SQLite)时,会显示 导出 按钮,可导出当前选中的日志文件。历史文件可能较大,建议闲时导出。MySQL 模式下不显示导出按钮。
5. 列配置
- 点击 列配置 勾选要显示的列,点击 重置列配置 可恢复默认列。列配置会保存在本地浏览器中。
6. 日志配置(折叠区)
- 点击顶部「日志配置」标题展开配置项,调整后点击 保存配置 生效。可设置是否记录响应报文、记录原始请求 BODY、日志记录类型、最大报文长度、历史日志保留天数、日志归档相关参数、日志持久化、批量插入、IP Tag 存放位置等。
7. IP 提取问题
- 点击 IP 提取有问题? 打开对话框,配置从哪个 HTTP 头提取访客真实 IP。提供 Cloudflare、X-Forwarded-For、X-Real-IP 等常用头一键填入;为空则提取连接 IP,可填多个头(英文逗号分隔,按顺序取第一个有值的)。
8. AI 训练标记(可选)
- 在操作列点击 AI 标记 可对该条记录进行人工修正标记:误报(正常)/ 确认攻击(可选攻击类别)/ 忽略,便于导出 AI 训练数据时采用修正结果,也可取消标记。
字段说明
列表字段
| 字段 | 说明 |
|---|---|
| 访客身份 | 系统识别的访客身份标识,可在列上输入过滤。 |
| 耗时(ms) | 本次请求处理耗时(毫秒),可排序。 |
| 危害程度 | 本次访问的风险等级。 |
| 状态 | 防御结果:放行 / 阻止 / 禁止。 |
| 仅记录日志 | 是否处于「仅记录日志」模式(命中规则只记录不拦截)。 |
| AI 得分 | AI 智能检测给出的异常分值(0~1,越高越可疑)。 |
| 触发规则 | 本次访问命中的规则名称。 |
| 时间 | 访问发生时间,可排序。 |
| 域名 | 被访问的网站域名。 |
| 请求 | 请求方法(GET/POST 等)。 |
| 来源 IP | 访客来源 IP,旁有「加入不允许访问」按钮。 |
| 国家 / 省份 / 城市 | 来源 IP 的地理位置。 |
| 访问识别码 | 本次请求的唯一标识(req_uuid),可在列上输入过滤。 |
| 访问 url | 本次请求的 URL。 |
| Header | 请求头内容,可在列上输入过滤。 |
| status | 响应状态码。 |
| 操作 | 查询来源 IP / 详情 / AI 标记。 |
搜索筛选字段
| 字段 | 说明 |
|---|---|
| 网站 | 按指定网站筛选,可搜索、可清空。 |
| 规则名称 | 按命中的规则名称模糊查询。 |
| 访问识别码 | 按请求唯一标识精确查询。 |
| 访问状态 | 防御状态:全部 / 阻止 / 放行 / 禁止。 |
| 响应码 | 按 HTTP 响应状态码查询。 |
| 来源 IP | 按访客来源 IP 查询。 |
| 访问日期 | 访问时间区间(支持精确到时分秒)。 |
| 访问方法 | 全部 / POST / GET / CONNECT / HEAD / OPTIONS / PRI。 |
| 日志归档库 | 选择要检索的日志归档库(分片),括号内为记录数。 |
常见问题
- 来源 IP 显示的是代理/CDN 的 IP 怎么办? 使用 IP 提取有问题? 配置真实 IP 头(如 Cloudflare 的 CF-Connecting-IP、通用的 X-Forwarded-For 等)。
- 为什么看不到导出按钮? 导出仅支持文件型(SQLite)日志归档库;MySQL 模式下不提供导出。
- 访问日志和风险日志有什么区别? 访问日志是逐条原始访问记录;风险日志按来源 IP 聚合触发规则的攻击情况,侧重攻击研判。
