查询攻击事件列表
功能介绍
查询攻击事件列表,该API暂时不支持查询全部防护事件,pagesize参数不可设为-1,由于性能原因,数据量越大消耗的内存越大,后端最多限制查询10000条数据,例如:自定义时间段内的数据超过了10000条,就无法查出page为101,pagesize为100之后的数据,需要调整时间区间,再进行查询
URI
GET /v1/{project_id}/waf/event
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| project_id | 是 | String | 项目ID,对应控制台用户名->我的凭证->项目列表->项目ID |
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| enterprise_project_id | 否 | String | 您可以通过调用企业项目管理服务(EPS)的查询企业项目列表接口(ListEnterpriseProject)查询企业项目id |
| recent | 否 | String | 查询日志的时间范围(不能和from、to同时使用,同时使用以recent为准),且recent参数与from、to必须使用其中一个。当同时使用recent参数与from、to时,以recent参数为准 |
| from | 否 | Long | 起始时间(13位时间戳),需要和to同时使用,不能和recent参数同时使用 |
| to | 否 | Long | 结束时间(13位时间戳),需要和from同时使用,不能和recent参数同时使用 |
| attacks | 否 | Array of strings | 攻击类型:
|
| hosts | 否 | Array of strings | 域名id,从获取防护网站列表(ListHost)接口获取域名id |
| page | 否 | Integer | 分页查询时,返回第几页数据。默认值为1,表示返回第1页数据。 |
| pagesize | 否 | Integer | 分页查询时,每页包含多少条结果。默认值为10,表示每页包含10条结果。 |
请求参数
| 参数 | 是否必选 | 参数类型 | 描述 |
|---|---|---|---|
| X-Auth-Token | 是 | String | 用户Token,通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 |
| Content-Type | 是 | String | 内容类型 |
| X-Language | 否 | String | 语言 |
响应参数
状态码:200
| 参数 | 参数类型 | 描述 |
|---|---|---|
| total | Integer | 攻击事件数量 |
| items | Array of ListEventItems objects | 攻击事件详情 |
| 参数 | 参数类型 | 描述 |
|---|---|---|
| id | String | 事件id |
| time | Long | 攻击发生时的时间戳(毫秒) |
| policyid | String | 策略id |
| sip | String | 源ip,Web访问者的IP地址(攻击者IP地址) |
| host | String | 域名 |
| url | String | 攻击的url链接 |
| attack | String | 攻击类型:
|
| rule | String | 命中的规则id |
| payload | String | 命中的载荷 |
| payload_location | String | 命中的载荷位置 |
| action | String | 防护动作 |
| request_line | String | 请求方法和路径 |
| headers | Object | http请求header |
| cookie | String | 请求cookie |
| status | String | 响应码状态 |
| process_time | Integer | 处理时长 |
| region | String | 地理位置 |
| host_id | String | 域名id |
| response_time | Long | 响应时长 |
| response_size | Integer | 响应体大小 |
| response_body | String | 响应体 |
| request_body | String | 请求体 |
状态码:400
| 参数 | 参数类型 | 描述 |
|---|---|---|
| error_code | String | 错误码 |
| error_msg | String | 错误信息 |
状态码:401
| 参数 | 参数类型 | 描述 |
|---|---|---|
| error_code | String | 错误码 |
| error_msg | String | 错误信息 |
状态码:500
| 参数 | 参数类型 | 描述 |
|---|---|---|
| error_code | String | 错误码 |
| error_msg | String | 错误信息 |
请求示例
查询今天项目id为project_id的防护事件列表
GET https://{Endpoint}/v1/{project_id}/waf/event?enterprise_project_id=0&page=1&pagesize=10&recent=today 响应示例
状态码:200
ok
{
"total" : 1,
"items" : [ {
"id" : "04-0000-0000-0000-21120220421152601-2f7a5ceb",
"time" : 1650525961000,
"policyid" : "25f1d179896e4e3d87ceac0598f48d00",
"host" : "x.x.x.x:xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"url" : "/osclass/oc-admin/index.php",
"attack" : "lfi",
"rule" : "040002",
"payload" : " file=../../../../../../../../../../etc/passwd",
"payload_location" : "params",
"sip" : "x.x.x.x",
"action" : "block",
"request_line" : "GET /osclass/oc-admin/index.php?page=appearance&action=render&file=../../../../../../../../../../etc/passwd",
"headers" : {
"accept-language" : "en",
"ls-id" : "xxxxx-xxxxx-xxxx-xxxx-9c302cb7c54a",
"host" : "x.x.x.x",
"lb-id" : "2f5f15ce-08f4-4df0-9899-ec0cc1fcdc52",
"accept-encoding" : "gzip",
"accept" : "*/*",
"user-agent" : "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2309.372 Safari/537.36"
},
"cookie" : "HWWAFSESID=2a1d773f9199d40a53; HWWAFSESTIME=1650525961805",
"status" : "418",
"host_id" : "6fbe595e7b874dbbb1505da3e8579b54",
"response_time" : 0,
"response_size" : 3318,
"response_body" : "",
"process_time" : 2,
"request_body" : "{}"
} ]
} 状态码
| 状态码 | 描述 |
|---|---|
| 200 | ok |
| 400 | 请求失败 |
| 401 | token权限不足 |
| 500 | 服务器内部错误 |
错误码
请参见错误码。