如何使用日志分析筛选条件
EdgeOne 日志分析支持的筛选条件分为三种类型:
1. 数据可用区(必选):查看所选数据可用区的日志数据。
2. 时间筛选条件(必选):查看所选的时间范围内的数据,详情请参见 如何修改日志分析查询时间范围。
3. 其他筛选条件:根据支持的筛选项,自定义筛选需要的日志数据。下文针对这部分详细说明。
支持的筛选项
字段名称 | 筛选项 | 数据类型 | 运算符 |
ClientConnectionID | 客户端连接 ID | String | 等于 |
LogTime | 日志时间 | String | 等于 |
RequestHost | 请求域名 | String | 等于 |
BotCharacteristic | Bot 智能分析特征 | String | 等于,不等于 |
BotClassAttacker | 网络攻击风险等级 | String | 等于,不等于 |
BotClassMaliciousBot | 恶意 Bot 风险等级 | String | 等于,不等于 |
BotClassProxy | 网络代理风险等级 | String | 等于,不等于 |
BotClassScanner | 扫描器风险等级 | String | 等于,不等于 |
ClientDeviceType | 设备类型 | String | 等于,不等于 |
ClientISP | 客户端运营商 | String | 等于,不等于 |
ClientRegion | 客户端国家/地区 | String | 等于,不等于 |
ClientState | 客户端行政区(中国大陆) | String | 等于,不等于 |
ContentID | 内容标识符 | String | 等于,不等于 |
EdgeCacheStatus | 缓存状态 | String | 等于,不等于 |
EdgeFunctionSubrequest | 边缘函数子请求 | Integer | 等于,不等于 |
EdgeResponseStatusCode | 响应状态码 | Integer | 等于,不等于 |
EdgeServerID | 边缘服务器 ID | String | 等于,不等于 |
EdgeServerRegionTopDivision | 边缘节点行政区(中国大陆) | String | 等于,不等于 |
EdgeServerRegion | 边缘节点国家/地区 | String | 等于,不等于 |
JA3Hash | 请求 JA3 指纹 | String | 等于,不等于 |
OriginResponseStatusCode | 源站响应状态码 | Integer | 等于,不等于 |
OriginSSLProtocol | 回源 TLS 版本 | String | 等于,不等于 |
ParentRequestID | 边缘函数父请求 ID | String | 等于,不等于 |
RequestBody | 请求正文内容(前 10KB) | String | 等于,不等于 |
RequestID | 请求 ID | String | 等于,不等于 |
RequestLog | 请求头日志 | String | 等于,不等于 |
RequestMethod | 请求方式 | String | 等于,不等于 |
RequestProtocol | HTTP 协议 | String | 等于,不等于 |
RequestScheme | HTTP/HTTPS | String | 等于,不等于 |
RequestSSLProtocol | TLS 版本 | String | 等于,不等于 |
RequestUA | User-Agent | String | 等于,不等于 |
RequestUrl | 请求 URL | String | 等于,不等于 |
RequestUrlQueryString | 请求 URL 参数 | String | 等于,不等于 |
SecurityRuleID | 规则 ID | String | 等于,不等于 |
EdgeEndTime | 请求完成时间 | String | 等于,大于 |
EdgeInternalTime | 内部处理耗时(毫秒) | Integer | 等于,大于 |
EdgeResponseBodyBytes | 响应正文长度(字节) | Integer | 等于,大于 |
EdgeResponseBytes | 响应总长度(字节) | Integer | 等于,大于 |
EdgeResponseTime | 响应整体耗时(毫秒) | Integer | 等于,大于 |
OriginDNSResponseDuration | 回源解析耗时(毫秒) | Double | 等于,大于 |
OriginRequestHeaderSendDuration | 回源请求头耗时(毫秒) | Double | 等于,大于 |
OriginResponseHeaderDuration | 回源响应头等待耗时(毫秒) | Double | 等于,大于 |
OriginTCPHandshakeDuration | 回源 TCP 握手耗时(毫秒) | Double | 等于,大于 |
OriginTLSHandshakeDuration | 回源 TLS 握手耗时(毫秒) | Double | 等于,大于 |
RequestBodyBytes | 请求正文长度(字节) | Integer | 等于,大于 |
RequestBytes | 请求长度(字节) | Integer | 等于,大于 |
RequestRange | 请求范围 | String | 等于 |
RequestTime | 请求时间 | String | 等于 |
BotTag | Bot 标签 | String | 等于,不等于 |
ClientIP | 客户端 IP | String | 等于,不等于 |
ClientPort | 客户端端口 | Integer | 等于,不等于 |
EdgeException | 边缘异常信息 | String | 等于,不等于 |
EdgeServerIP | 边缘服务器 IP | String | 等于,不等于 |
OriginIP | 源站 IP | String | 等于,不等于 |
RemotePort | 边缘节点端口 | Integer | 等于,不等于 |
RequestReferer | Referer | String | 等于,不等于 |
RequestStatus | 请求状态 | String | 等于,不等于 |
SecurityAction | 处置方式 | String | 等于,不等于 |
SecurityModule | 规则类别 | String | 等于,不等于 |
SecurityRiskLevel | 安全风险等级 | String | 等于,不等于 |
多个筛选条件之间的关系
多个筛选条件之间的关系为“且”关系,同一个筛选条件内的多个取值之间的关系为“或”关系。
例如:同时添加筛选条件
国家/地区=新加坡;泰国和状态码=404,意味着查询满足来自新加坡或泰国客户端的访问且边缘响应状态码为 404 的数据。