文档首页/ Web应用防火墙 WAF/ 用户指南/ 网站接入WAF/ 进阶配置/ 配置日志记录响应体字节长度
更新时间:2026-07-03 GMT+08:00
分享

配置日志记录响应体字节长度

WAF在转发客户端请求至源站服务器、接收源站服务器响应后,会根据配置的日志记录响应体字节长度,截取响应体数据并写入日志(仅留存符合阈值的内容,避免大响应体占用过多存储)。结合日志中的响应体,可还原完整攻击链路(例如黑客攻击后服务器返回的错误码、敏感信息泄露痕迹),实现 “请求 - 响应” 全链路日志留存。

WAF截取过程不修改原始响应,仅用于日志记录,不会影响客户端接收的完整响应内容。

响应体日志以域名为粒度,可根据不同域名的业务场景,灵活配置响应体长度。WAF响应体默认字节长度为2048 Bytes,支持配置为1~8192 Bytes。

该功能为公测功能,需提交工单申请开通

典型应用场景

  • 电商平台遭遇SQL注入攻击后,需验证服务器是否返回敏感数据(例如用户手机号),通过响应体日志快速确认泄露风险。
  • 企业官网配置WAF后出现 “访问正常但页面空白”,通过响应体查看服务器返回的HTML错误信息(例如回源超时、资源不存在),定位是WAF规则拦截还是源站故障。
  • SaaS服务商需向客户提供攻击拦截证明,响应体日志可作为 “攻击已被有效拦截且未影响业务” 的佐证。

前提条件

添加防护网站

配置日志记录响应体字节长度

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“网站设置”
  5. “网站设置”页面,单击目标网站域名。
  6. “高级配置”区域,单击“日志记录响应体字节长度”处的,配置响应体字节长度(配置范围为1~8192 Bytes)后,单击“确定”

    图1 配置日志记录响应体字节长度
    配置建议
    • 静态页面(例如官网首页、产品介绍页):静态页面响应体多为HTML/CSS,长度较短,默认2048 Bytes足够。
    • API接口(例如用户登录、数据查询接口):API响应体多为JSON格式,包含较多数据字段,长度可能超过2048 Bytes,建议配置为4096~8192 Bytes。
    • 下载类业务(例如文件下载、安装包分发):仅需记录响应头关键信息,无需完整截取大文件响应体,节省存储,建议配置为1024~2048 Bytes。

    配置完成后,WAF新记录的防护事件详情中,就会展示对应长度范围内的响应体详情。

    在WAF控制台左侧导航栏,单击“防护事件”,在防护事件列表,选择目标“事件类型”(例如“XSS攻击”“SQL注入攻击”),单击目标事件“操作”列的“详情”,在“响应详情”页签,查看响应体详情。

    图2 查看响应详情
    表1 响应体字段说明

    类别

    字段

    取值示例

    说明

    实用价值

    响应头

    Block-Event-Id

    31-inst-110-20260112054554-8b38aec4

    WAF在拦截请求时生成的一个追踪标识符,用于唯一标识特定的事件。

    可使用此ID调查攻击详情。

    Server

    CW

    响应服务器标识,例如CW,为CloudWAF缩写,说明该响应经过WAF转发。

    确认日志来源的合法性,排除非WAF转发的响应。

    Set-cookie

    HWWAFSESID=d744b76fc2ad99b099; path=/, HWWAFSESTIME=1768185242543; path=/

    WAF 生成的会话Cookie,用于会话跟踪。

    排查会话相关问题,例如登录态异常。

    connection

    close

    WAF拦截或拒绝请求时的响应,例如close,表示服务器处理完请求后会关闭连接。

    控制TCP连接的保持或关闭,WAF拦截后通常立即关闭连接以节省资源,可避免恶意客户端保持连接消耗资源。

    content-length

    3224

    源站返回的完整响应体长度,单位为Bytes。

    对比配置的阈值,若完整长度>阈值,日志仅记录阈值范围内的内容。

    content-type

    text/html; charset=utf-8

    响应体格式

    快速判断业务类型,如JSON格式可能是 API接口响应。

    响应体

    -

    30-clou-106-20260112103403-81864d89

    截取的响应体内容。

    直接查看服务器返回结果,定位故障原因,例如回源失败、权限不足。

相关文档