更新时间:2024-07-25 GMT+08:00

查询攻击事件列表

功能介绍

查询攻击事件列表,该API暂时不支持查询全部防护事件,pagesize参数不可设为-1,由于性能原因,数据量越大消耗的内存越大,后端最多限制查询10000条数据,例如:自定义时间段内的数据超过了10000条,就无法查出page为101,pagesize为100之后的数据,需要调整时间区间,再进行查询

URI

GET /v1/{project_id}/waf/event

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

用户操作的项目id

表2 Query参数

参数

是否必选

参数类型

描述

enterprise_project_id

String

您可以通过调用企业项目管理服务(EPS)的查询企业项目列表接口(ListEnterpriseProject)查询企业项目id

recent

String

查询日志的时间范围,(不能和from、to同时使用)

枚举值:

  • yesterday

  • today

  • 3days

  • 1week

  • 1month

attacks

Array

攻击类型:

  • vuln:其它攻击类型

  • sqli: sql注入攻击

  • lfi: 本地文件包含

  • cmdi:命令注入攻击

  • xss:XSS攻击

  • robot:恶意爬虫

  • rfi:远程文件包含

  • custom_custom:精准防护

  • cc: cc攻击

  • webshell:网站木马

  • custom_whiteblackip:黑白名单拦截

  • custom_geoip:地理访问控制拦截

  • antitamper:防篡改

  • anticrawler:反爬虫

  • leakage:网站信息防泄漏

  • illegal:非法请求

from

Long

起始时间(13位时间戳),需要和to同时使用,不能和recent参数同时使用

to

Long

结束时间(13位时间戳),需要和from同时使用,不能和recent参数同时使用

hosts

Array

域名id,从获取防护网站列表(ListHost)接口获取域名id

page

Integer

分页查询时,返回第几页数据。范围0-100000,默认值为1,表示返回第1页数据。

pagesize

Integer

分页查询时,每页包含多少条结果。范围1-100,默认值为10,表示每页包含10条结果。

请求参数

表3 请求Header参数

参数

是否必选

参数类型

描述

X-Auth-Token

String

用户Token,通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。

Content-Type

String

内容类型

缺省值:application/json;charset=utf8

响应参数

状态码: 200

表4 响应Body参数

参数

参数类型

描述

total

Integer

攻击事件数量

items

Array of ListEventItems objects

攻击事件详情

表5 ListEventItems

参数

参数类型

描述

id

String

事件id

time

Long

次数

policyid

String

策略id

sip

String

源ip

host

String

域名

url

String

攻击的url链接

attack

String

攻击类型:

  • vuln:其它攻击类型

  • sqli: sql注入攻击

  • lfi: 本地文件包含

  • cmdi:命令注入攻击

  • xss:XSS攻击

  • robot:恶意爬虫

  • rfi:远程文件包含

  • custom_custom:精准防护

  • webshell:网站木马

  • custom_whiteblackip:黑白名单拦截

  • custom_geoip:地理访问控制拦截

  • antitamper:防篡改

  • anticrawler:反爬虫

  • leakage:网站信息防泄漏

  • illegal:非法请求

rule

String

命中的规则id

payload

String

命中的载荷

action

String

防护动作

request_line

String

请求方法和路径

headers

Object

http请求header

cookie

String

请求cookie

status

String

响应码状态

process_time

Integer

处理时长

region

String

地理位置

host_id

String

域名id

response_time

Long

响应时长

response_size

Integer

响应体大小

response_body

String

响应体

request_body

String

请求体

状态码: 400

表6 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

状态码: 401

表7 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

状态码: 500

表8 响应Body参数

参数

参数类型

描述

error_code

String

错误码

error_msg

String

错误信息

请求示例

GET https://{Endpoint}/v1/{project_id}/waf/event?enterprise_project_id=0&page=1&pagesize=10&recent=today

响应示例

状态码: 200

ok

{
  "total" : 1,
  "items" : [ {
    "id" : "04-0000-0000-0000-21120220421152601-2f7a5ceb",
    "time" : 1650525961000,
    "policyid" : "25f1d179896e4e3d87ceac0598f48d00",
    "host" : "x.x.x.x:xxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "url" : "/osclass/oc-admin/index.php",
    "attack" : "lfi",
    "rule" : "040002",
    "payload" : " file=../../../../../../../../../../etc/passwd",
    "payload_location" : "params",
    "sip" : "x.x.x.x",
    "action" : "block",
    "request_line" : "GET /osclass/oc-admin/index.php?page=appearance&action=render&file=../../../../../../../../../../etc/passwd",
    "headers" : {
      "accept-language" : "en",
      "ls-id" : "xxxxx-xxxxx-xxxx-xxxx-9c302cb7c54a",
      "host" : "x.x.x.x",
      "lb-id" : "2f5f15ce-08f4-4df0-9899-ec0cc1fcdc52",
      "accept-encoding" : "gzip",
      "accept" : "*/*",
      "user-agent" : "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.2309.372 Safari/537.36"
    },
    "cookie" : "HWWAFSESID=2a1d773f9199d40a53; HWWAFSESTIME=1650525961805",
    "status" : "418",
    "host_id" : "6fbe595e7b874dbbb1505da3e8579b54",
    "response_time" : 0,
    "response_size" : 3318,
    "response_body" : "",
    "process_time" : 2,
    "request_body" : "{}"
  } ]
}

状态码

状态码

描述

200

ok

400

请求失败

401

token权限不足

500

服务器内部错误

错误码

请参见错误码