2. 事件概览_事件查找

什么是“事件查找”?

事件查找按时间顺序记录所有请求,包括与 WAF 规则匹配请求的事件,在此您可以根据需求查找事件。事件列表包含事件的时间、WAF 规则的动作、事件发生的详细原因、请求 IP、请求表头等让您能随时查找和监看所有可疑请求。

① 侧边栏:

单击事件概览下拉按钮后,选择“事件查找”。

② 事件查找介绍区:

在侧边栏导航中选择“事件查找”后,相关操作介面将显示于页面中央的内容区域。您将在顶部看到“事件查找介绍区”说明事件查找的功能。

③ 事件查找管理区:

事件查找管理页面显示于内容区域第二排。在这里,您可以查看、自定义列表项目、搜寻事件,并输出搜寻结果。

1. 概览事件列表

① 选择群组。

② 单击侧边栏导航“事件概览”下的“事件查找”。

③ 现在,您将看到一个事件列表,清楚列出所有与 WAF 规则相匹配的请求事件。

④ 想要查看列表中所有项目,请移动底部的“水平滚动条”以查看完整列表。

⑤ 欲在单页中查看更多事件数量,请单击底部的“下拉按钮”,然后从 10、20、30、40/页中选择。

2. 分析列表获知被阻挡原因

① 选择群组。

② 单击侧边栏导航“事件概览”下的“事件查找”。

③ 现在,您会看到一个事件列表,清楚列出所有与 WAF 规则相匹配的请求事件。

④ 根据 WAF 规则的“动作”,有许多方法可以分析事件并找出事件发生的原因。想深入挖掘,请单击“事件查找管理区”顶部的“进阶搜寻”按钮,打开设置页面。

⑤ 在“进阶搜寻”设置页面上,通过在特定栏位中输入值,可搜寻出有相同特性的事件(或者您可以自定义搜寻列表的显示项目以进行更详尽的分析。请参见 [访问网站时若出现阻挡页面,如何协助查询被阻挡原因?] 的说明)。

⑥ 单击“Search”按钮查看搜寻结果以进行分析。

3. 访问网站时若出现阻挡页面,如何协助查询被阻挡原因?

① 当请求被拒绝时,最终用户会看见“阻挡页面”。

② “阻挡页面”会提供事件 ID(rid),亦即请求 ID,是一组独一无二以区分请求的号码,让您可以在 ApeiroCDN 管理平台上找到匹配的事件。

③ 取得事件 ID(rid)后,到 ApeiroCDN 管理平台,选择群组。

④ 单击侧边栏导航“事件概览”下的“事件查找”。

⑤ 现在,您会看到一个事件列表,清楚列出所有与 waf 规则相匹配请求的事件。在列表的上方,您将看到一个“搜索栏”,请在此输入阻挡页面显示的“rid”以搜寻匹配的事件。

4. 何谓事件 ID (rid)?如何取得?

① 当请求被拒绝时,最终用户会看见“阻挡页面”。“阻挡页面”会提供事件 ID(rid),亦即请求 ID,是一组独一无二以区分请求的号码。

② 在 ApeiroCDN 管理平台上,您可以于事件列表上的“事件 id”项目中查看。

5. 从事件查找挖掘更多资讯

① 选择群组。

② 单击侧边栏导航“事件概览”下的“事件查找”。

③ 单击“显示字段”按钮,打开设置页面。

④ 在“显示字段”设置页面上,通过勾選特定栏位,可自定义搜寻列表的显示项目以进行更详尽的分析。

6. 表 : 显示字段各项栏位说明

栏位
说明

事件 ID

A8 CDN 的访问纪录的事件 ID (rid),可以在 ApeiroCDN 管理平台上找到匹配的事件。

域名

事件访问域名。

时间

事件发生时间。

群组

该客户于 A8 CDN 上的使用者群组名称 CDN-xxx。

站点

该事件发生时使用的线路站点。

动作

事件触发的原因,并且输出表格后会依照动作转译动作代码显示,下列是 CDN 各原因简介:

  • (00) Allow : 依照设置的白名单放行

  • (01) Deny : 拒绝访问

  • (03) Gesture : 访问时触发图形验证 (手势画图验证) 规则

  • (05) Speed : 访问时触发限速规则

  • (06) Redirect : 访问时触发跳转导向规则

  • (07) Cookie : 触发 Cookie/Javascript 验证规则

  • (08) Period : 触发 Block Period 阻挡被请求速率限制

  • (09) Set Request Headers : 触发自定义请求标头,可以让客户原站抓取到对应值

  • (10) Set Response Headers : 触发 CDN 自定义回应标头

  • (11) Log Only : 套用的 WAF 仅作事件纪录不会实际生效,主要测试配置的 WAF 是否符合需求或是观察可疑事件

  • (12) Custom Page : 触发自定义 HTML 页面

  • (13) Origin Policy : 触发回源政策策略

  • (14) Smart Captcha : 触发图形验证 (点选图片验证) 规则

請參阅 [域名管理_WAF 规则 表:动作栏位] 以获取更多信息。

触发规则

依据 httpcode 还有触发的 WAF 显示对应代码 or WAF 名称 • 000 = custom_rule。allow 無觸發任何 custom rule ; 200

• 001 = edge loop。bad request,Deny ; 400

• 002 = http_version。not support http 1 ; 403

• 003 = health check。unknow ip format ; 502

• 004 = rest。mismatch_servername;444

• 005 = let’s encrypt。Cert challenge request at /.well-known/acme-challenge ; 404

• 006 = redirect ; 302 301 307

• 007 = header_empty

• 008 = external_health_check

• 009 = Origin timeout between CDN and upstream;504 • 010 = Origin Table Empty ; 503 • 021 = Internal server error between CDN and upstream ; 500 • 022 = Method not implemented between CDN and upstream ; 501 • 023 = Bad gateway between CDN and upstream ; 502 • 024 = Service unavailable between CDN and upstream ; 503 • 025 = Origin fail between CDN and upstream ; 502 • 026 = Origin Policy ; IP dose not match any origin policy country ; 503 *触发规则主要用于 Apeiro8 CDN 技术人员排查使用。

详细原因

触发的 WAF 原因及 WAF 内什么条件触发。

请求 IP

客户访问 IP。

国家

请求 IP 的来源国家。

HTTP 方法 (request methods)

针对资源的请求方式。 GET ; POST ; PUT ; HEAD ; DELETE ; CONNECT ; TRACE ; PATCH

状态

http code 响应代码。

协议

使用 http / https 协议访问。

请求 port

访问请求域名 port。

请求 URL

请求域名的 URI 资源标的。

Args

客户针对域名设定的相关 Args 变数。

请求 URL

客户请求域名的完整 URL。

请求表头

请求域名时的表头可利用搜寻寻找特定表头。

请求耗时

请求耗时是用户发起请求后,并且接受到伺服器响应所经过的时间。包含“用户➝CDN➝源站➝CDN➝用户”的所有时间。

会影响的原因:

1. 线路状况

2. 伺服器性能

3. 请求的复杂性

4. 请求的数据量

源站耗时

回源耗时是 CDN 在向源站取得资料的过程中,源站提供资料这之中所产生的时间。包含源站提供资料所需要的时间。如有异常是由客户向源站管理方做确认。

会影响的原因:

1. CDN 与源站的距离

2. 网路连线品质

3. 源站的负载量

Upstream Status

CDN 到源站后的 http code 由源站返回。

Server Protocol

http/https 协议 HTTP/1.0 HTTP/1.1 HTTP/2.0。

ProxyType

网路代理的类型,依照IP2location提供的资料库为判断。 • VPN : 使用 VPN 服务商

• TOR : Tor 节点(洋葱服务器),一个高匿名高隐藏性的浏览器节点

• DCH : 主机提供商、数据中心或内容交付网络

• PUB* : 公共网路代理伺服器

• WEB : 网路代理服务器类似 VPN 但并非在 IP 做代理而是 web 上操作

• SES : 搜寻引擎机器人,通常是爬虫 or bot 机器人

• RES : 住宅代理伺服器

ISP

访问 ip 的网路供应商。

OriginHostResolve

访问域名时所请求的源站。

Previous1. 事件概览_功能介绍与页面导航Next07. 告警配置

Last updated