查询攻击事件列表

功能介绍

查询攻击事件列表，该API暂时不支持查询全部防护事件，pagesize参数不可设为-1，由于性能原因，数据量越大消耗的内存越大，后端最多限制查询10000条数据，例如：自定义时间段内的数据超过了10000条，就无法查出page为101，pagesize为100之后的数据，需要调整时间区间，再进行查询

URI

GET /v1/{project_id}/waf/event

表1 路径参数
参数	是否必选	参数类型	描述
project_id	是	String	项目ID，对应控制台用户名->我的凭证->项目列表->项目ID

表2 Query参数
参数	是否必选	参数类型	描述
enterprise_project_id	否	String	您可以通过调用企业项目管理服务（EPS）的查询企业项目列表接口（ListEnterpriseProject）查询企业项目id
recent	否	String	查询日志的时间范围（不能和from、to同时使用，同时使用以recent为准），且recent参数与from、to必须使用其中一个。当同时使用recent参数与from、to时，以recent参数为准枚举值： yesterday today 3days 1week 1month
from	否	Long	起始时间(13位时间戳)，需要和to同时使用，不能和recent参数同时使用
to	否	Long	结束时间(13位时间戳)，需要和from同时使用，不能和recent参数同时使用
attacks	否	Array	攻击类型: vuln：其它攻击类型 sqli： sql注入攻击 lfi：本地文件包含 cmdi：命令注入攻击 xss：XSS攻击 robot：恶意爬虫 rfi：远程文件包含 custom_custom：精准防护 cc: cc攻击 webshell：网站木马 custom_whiteblackip：黑白名单拦截 custom_geoip：地理访问控制拦截 antitamper：防篡改 anticrawler：反爬虫 leakage：网站信息防泄漏 illegal：非法请求
hosts	否	Array	域名id，从获取防护网站列表（ListHost）接口获取域名id
page	否	Integer	分页查询时，返回第几页数据。默认值为1，表示返回第1页数据。
pagesize	否	Integer	分页查询时，每页包含多少条结果。默认值为10，表示每页包含10条结果。

请求参数

表3 请求Header参数
参数	是否必选	参数类型	描述
X-Auth-Token	是	String	用户Token，通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。
Content-Type	是	String	内容类型缺省值：application/json;charset=utf8

响应参数

状态码： 200

表4 响应Body参数
参数	参数类型	描述
total	Integer	攻击事件数量
items	Array of ListEventItems objects	攻击事件详情

表5 ListEventItems
参数	参数类型	描述
id	String	事件id
time	Long	攻击发生时的时间戳(毫秒)
policyid	String	策略id
sip	String	源ip，Web访问者的IP地址（攻击者IP地址）
host	String	域名
url	String	攻击的url链接
attack	String	攻击类型: vuln：其它攻击类型 sqli： sql注入攻击 lfi：本地文件包含 cmdi：命令注入攻击 xss：XSS攻击 robot：恶意爬虫 rfi：远程文件包含 custom_custom：精准防护 webshell：网站木马 custom_whiteblackip：黑白名单拦截 custom_geoip：地理访问控制拦截 antitamper：防篡改 anticrawler：反爬虫 leakage：网站信息防泄漏 illegal：非法请求
rule	String	命中的规则id
payload	String	命中的载荷
payload_location	String	命中的载荷位置
action	String	防护动作
request_line	String	请求方法和路径
headers	Object	http请求header
cookie	String	请求cookie
status	String	响应码状态
process_time	Integer	处理时长
region	String	地理位置
host_id	String	域名id
response_time	Long	响应时长
response_size	Integer	响应体大小
response_body	String	响应体
request_body	String	请求体

状态码： 400

表6 响应Body参数
参数	参数类型	描述
error_code	String	错误码
error_msg	String	错误信息

状态码： 401

表7 响应Body参数
参数	参数类型	描述
error_code	String	错误码
error_msg	String	错误信息

状态码： 500

表8 响应Body参数
参数	参数类型	描述
error_code	String	错误码
error_msg	String	错误信息

请求示例

GET https://{Endpoint}/v1/{project_id}/waf/event?enterprise_project_id=0&page=1&pagesize=10&recent=today

响应示例

状态码： 200

{
  "total" : 1,
  "items" : [ {
    "id" : "04-0000-0000-0000-21120220421152601-2f7a5ceb",
    "time" : 1650525961000,
    "policyid" : "25f1d179896e4e3d87ceac0598f48d00",
    "host" : "x.x.x.x:xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "url" : "/osclass/oc-admin/index.php",
    "attack" : "lfi",
    "rule" : "040002",
    "payload" : " file=../../../../../../../../../../etc/passwd",
    "payload_location" : "params",
    "sip" : "x.x.x.x",
    "action" : "block",
    "request_line" : "GET /osclass/oc-admin/index.php?page=appearance&action=render&file=../../../../../../../../../../etc/passwd",
    "headers" : {
      "accept-language" : "en",
      "ls-id" : "xxxxx-xxxxx-xxxx-xxxx-9c302cb7c54a",
      "host" : "x.x.x.x",
      "lb-id" : "2f5f15ce-08f4-4df0-9899-ec0cc1fcdc52",
      "accept-encoding" : "gzip",
      "accept" : "*/*",
      "user-agent" : "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2309.372 Safari/537.36"
    },
    "cookie" : "HWWAFSESID=2a1d773f9199d40a53; HWWAFSESTIME=1650525961805",
    "status" : "418",
    "host_id" : "6fbe595e7b874dbbb1505da3e8579b54",
    "response_time" : 0,
    "response_size" : 3318,
    "response_body" : "",
    "process_time" : 2,
    "request_body" : "{}"
  } ]
}

状态码

状态码	描述
200	ok
400	请求失败
401	token权限不足
500	服务器内部错误

错误码

请参见错误码。

父主题： 防护事件管理

上一篇：防护事件管理

下一篇：查询指定事件id的防护事件详情

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消