根据ID查询攻击事件日志

功能介绍

通过ID来查询攻击事件日志。

URI

URI格式
 GET /v1/{project_id}/waf/event/{event_id}

参数说明

表1 Path参数说明
名称	是否必选	参数类型	说明
project_id	是	String	用户操作的项目ID。
event_id	是	String	事件ID。

请求消息

请求参数

无

响应消息

响应参数

表2 响应参数说明
名称	参数类型	说明
id	String	攻击事件ID。
time	Integer	攻击事件时间（Milliseconds since Unix Epoch）。
policy_id	String	策略ID。
sip	String	攻击源的IP。
host	String	被攻击的域名。
host_id	String	域名的ID。
url	String	攻击的URL链接，不包含域名。
attack	String	攻击类型。
rule	String	命中的规则ID。
payload	String	命中的载荷。
action	String	防护动作。 “Block”：拦截。 “Log only”：仅记录不拦截。 “Allow”：放行。 “Verification code”：验证码验证。 “Filter”：过滤。 “Mismatch”：不匹配。
payload_location	String	攻击发生在请求报文的位置。取值范围为：body、url、params、header。
request_line	String	攻击请求的方法。
headers	Object	攻击请求头部。
cookie	String	cookie。
body	String	攻击请求的请求体。

示例

如下以根据id“0000-0000-0000-13-56ef71f5745764348192f844658dd144”查询攻击事件日志为例。

响应样例

{
     "id": "0000-0000-0000-13-56ef71f5745764348192f844658dd144",
      "time": 1499817600,
      "policy_id": "xxx",
      "sip": "X.X.1.1",
      "host": "a.com",
      "host_id": "123",
      "url": "/login",
      "attack": "sqli",
      "rule": "20001",
      "payload": "1 or 1=1",
      "action": "block",
      "payload_location": "params",
      "request_line": "GET / ",
      "headers": {
        "Connection": "keep-alive",
        "User-Agent": "curl"
      },
      "cookie": "sid=123; uid=456",
      "body": "user=admin&pass=abc123"
    }

状态码

表3描述的是API返回的正常状态码。

表3 状态码
状态码	编码	状态说明
200	OK	客户端请求已处理成功。

异常状态码，请参见状态码。

父主题： 事件日志查询

上一篇：查询攻击事件日志

下一篇：查询事件类型分布

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消