配置日志记录响应体字节长度
WAF在转发客户端请求至源站服务器、接收源站服务器响应后,会根据配置的日志记录响应体字节长度,截取响应体数据并写入日志(仅留存符合阈值的内容,避免大响应体占用过多存储)。结合日志中的响应体,可还原完整攻击链路(例如黑客攻击后服务器返回的错误码、敏感信息泄露痕迹),实现 “请求 - 响应” 全链路日志留存。
WAF截取过程不修改原始响应,仅用于日志记录,不会影响客户端接收的完整响应内容。
响应体日志以域名为粒度,可根据不同域名的业务场景,灵活配置响应体长度。WAF响应体默认字节长度为2048 Bytes,支持配置为1~8192 Bytes。
典型应用场景
- 电商平台遭遇SQL注入攻击后,需验证服务器是否返回敏感数据(例如用户手机号),通过响应体日志快速确认泄露风险。
- 企业官网配置WAF后出现 “访问正常但页面空白”,通过响应体查看服务器返回的HTML错误信息(例如回源超时、资源不存在),定位是WAF规则拦截还是源站故障。
- SaaS服务商需向客户提供攻击拦截证明,响应体日志可作为 “攻击已被有效拦截且未影响业务” 的佐证。
前提条件
已添加防护网站。
配置日志记录响应体字节长度
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“高级配置”区域,单击“日志记录响应体字节长度”处的
,配置响应体字节长度(配置范围为1~8192 Bytes)后,单击“确定”。 图1 配置日志记录响应体字节长度
配置建议:- 静态页面(例如官网首页、产品介绍页):静态页面响应体多为HTML/CSS,长度较短,默认2048 Bytes足够。
- API接口(例如用户登录、数据查询接口):API响应体多为JSON格式,包含较多数据字段,长度可能超过2048 Bytes,建议配置为4096~8192 Bytes。
- 下载类业务(例如文件下载、安装包分发):仅需记录响应头关键信息,无需完整截取大文件响应体,节省存储,建议配置为1024~2048 Bytes。
配置完成后,WAF新记录的防护事件详情中,就会展示对应长度范围内的响应体详情。
在WAF控制台左侧导航栏,单击“防护事件”,在防护事件列表,选择目标“事件类型”(例如“XSS攻击”、“SQL注入攻击”),单击目标事件“操作”列的“详情”,在“响应详情”页签,查看响应体详情。
图2 查看响应详情
表1 响应体字段说明 类别
字段
取值示例
说明
实用价值
响应头
Block-Event-Id
31-inst-110-20260112054554-8b38aec4
WAF在拦截请求时生成的一个追踪标识符,用于唯一标识特定的事件。
可使用此ID调查攻击详情。
Server
CW
响应服务器标识,例如CW,为CloudWAF缩写,说明该响应经过WAF转发。
确认日志来源的合法性,排除非WAF转发的响应。
Set-cookie
HWWAFSESID=d744b76fc2ad99b099; path=/, HWWAFSESTIME=1768185242543; path=/
WAF 生成的会话Cookie,用于会话跟踪。
排查会话相关问题,例如登录态异常。
connection
close
WAF拦截或拒绝请求时的响应,例如close,表示服务器处理完请求后会关闭连接。
控制TCP连接的保持或关闭,WAF拦截后通常立即关闭连接以节省资源,可避免恶意客户端保持连接消耗资源。
content-length
3224
源站返回的完整响应体长度,单位为Bytes。
对比配置的阈值,若完整长度>阈值,日志仅记录阈值范围内的内容。
content-type
text/html; charset=utf-8
响应体格式
快速判断业务类型,如JSON格式可能是 API接口响应。
响应体
-
30-clou-106-20260112103403-81864d89
截取的响应体内容。
直接查看服务器返回结果,定位故障原因,例如回源失败、权限不足。
