事件查詢(Audit Logs)
進入事件概覽 / 事件查詢的頁面,可以看到原始數據(Origin Data)與採樣數據(Sampling Data)。兩者的差別如下:
原始數據:每一筆請求都會留下一筆紀錄。
採樣數據:每一百筆請求才會留下一筆紀錄。
💡
以下的說明會提到域名物件與 WAF 規則的概念,如果你還沒有建立域名與 WAF 規則,可以參考 4. 建立域名(Domain)、建立 WAF 規則(WAF Rules)。
而有關事件查詢的欄位意涵,這邊將搭配建立 WAF 規則(WAF Rules)的操作為例,逐一介紹:
- 事件 ID(Req_id):該次請求的事件 ID,即錯誤頁面上的「錯誤碼: 82399288746156f9558040f57dce2728」。
- 域名(ServerName):請求的域名,即 nindomain.ninja.tw。
- 時間(Timestamp):請求的時間,即 2023-03-13 的 15:45:49。
- 群組(Group):請求的平台群組,即 406615b1-6ec0-48ab-a6d9。
💡
在群組管理 / 用戶管理中,所有使用者的集合稱為一個平台群組。你也可以參考全局參數,了解平台每個頁面都會出現的參數意涵。
- 站點(Site):請求的域名所套用的站點,即站點 nin。
- 動作(Action):允許用戶訪問(Allow)或拒絕用戶請求( Deny)。
- 觸發類型(Type):WAF 的類型。觸發類型是 01,即動作 Deny。
💡
有關觸發類型的號碼意涵,可以延伸閱讀 iNODE NINJA 請求日誌狀態碼。
- 觸發規則(Rule):WAF 規則的名稱,即規則名稱 deny_all。
- 詳細原因(Reason):若「動作」為「Deny」,其詳細的原因為何,即錯誤頁面左上方的「Access Denied」。
- 請求IP(IP):請求者的 IP,即錯誤頁面上的「識別: ***.77.16.104」。
- 國家(Country):請求者的 IP 屬於哪個國家,即臺灣。
- HTTP方法(Method):HTTP 請求方法,有 GET、POST、DELETE……等類型。在範例操作中,為 GET。
- 狀態(Status):HTTP 狀態碼,即 403。
- 協議(Scheme):通訊協議,即 http。
- 請求 port(Port):請求端口,即 http 的預設端口 80 port。
- 請求 URI(URI):請求 URI。在範例操作中,為 /。
- args:附加在請求網址的後方的 Querystring 參數。在範例操作中,此處為空。
💡
如果你在訪問範例域名時,輸入 http://nindomain.ninja.tw?groupName=ninja,args 的欄位就會顯示 groupName=ninja。
- 請求 URL(URL):請求網址。在範例操作中,為 http://nindomain.ninja.tw:80/。
- 請求表頭(Headers):請求時所傳送的表頭,有 user-agent、host……等內容。
- 請求耗時(Request Time):請求時花了多少秒才獲得 EDGE 的回應。在範例操作中,為 0.000。
- 源站耗時(Upstream Response Time):請求時 EDGE 花了多少秒才獲得源伺服器的回應。
- Upstream Status:當 EDGE 將請求送到源伺服器,源伺服器回傳的 HTTP 狀態碼為何。
💡
在範例操作中,因請求由 EDGE 回應,並未送到源伺服器,所以源站耗時和 Upstream Status 皆為空。
- Server Protocol:請求的 HTTP 協議版本。在範例操作中,為 HTTP/1.1。
- proxyType:代理的種類。平台使用 ip2proxy 作為資料庫,詳細的代理類別可參考其官方網站。在範例操作中,此處為空。
- isp:網路服務供應商。在範例操作中,為中華電信。
- originHostResolve:源伺服器的解析,即 ninorigin.ninja.tw。