HTTPS高防服务器日志如何查看

HTTPS高防服务器日志查看与定位
一、先明确日志来源与差异
- 高防侧日志：由云厂商的 DDoS 高防/Anti-DDoS 产生，包含 攻击告警日志（事件类型、防护动作、攻击源 IP、开始/结束时间等）与可选的 全量访问日志/CC 攻击日志。这类日志通常在云平台的 安全报表、操作日志、全量日志分析 页面查看，部分功能为增值服务需单独开通。
- 源站/Web 服务器日志：由 Nginx/Apache/IIS/Tomcat 产生，记录 HTTP(S) 访问与错误。常见路径如：/var/log/nginx/access.log、/var/log/apache2/access.log、**C:\inetpub\logs\LogFiles\W3SVCx**。
- 操作系统与安全日志：如 /var/log/messages、/var/log/syslog、/var/log/auth.log（Linux），或 Windows 事件查看器（安全/系统/应用程序）。
- 架构差异：若接入 CDN，绝大多数请求先到 CDN 节点，源站通常只看到 CDN 回源 IP；要查看真实客户端访问，需在 CDN 或高防侧开启日志。
以上差异决定了“在哪里看”和“能看到什么”。
二、在云高防控制台查看
- 安全总览：查看实例与域名的 业务数据 与 遭受的 DDoS 攻击详情，用于快速判断是否存在异常峰值或攻击事件。
- 操作日志：审计 重要操作记录（如策略变更、防护开关），便于追踪配置变动。
- 全量日志分析：开通后可将 网站访问日志 与 CC 攻击日志 接入云 日志服务（SLS/CLS），进行 实时检索、分析与可视化仪表盘 展示。
- 攻击告警日志：在 DDoS 高防/原生防护 控制台查看 攻击类型、防护动作、攻击源 IP、起止时间 等关键字段，用于溯源与加固。
以上功能与字段以主流云厂商控制台为准，名称可能略有差异。
三、在源站 Web 服务器查看
- 连接与定位：SSH 登录后进入日志目录（如 /var/log/），列出并确认 Nginx/Apache 的 access.log/error.log 实际路径。
- 常用命令：
- 实时查看：tail -f /var/log/nginx/access.log
- 分页查看：less /var/log/nginx/error.log
- 最近 N 行：tail -n 200 /var/log/nginx/access.log
- 日志字段要点：Nginx 常用格式包含 $remote_addr、[$time_local]、“$request”、$status、$body_bytes_sent、“$http_referer”、$http_user_agent"、$http_x_forwarded_for；其中 $http_x_forwarded_for 可用于识别经过 CDN/高防 后的真实客户端 IP（取决于前置代理是否正确设置）。
- 安全提示：若源站前接 CDN/高防 且未正确传递 X-Forwarded-For/X-Real-IP，源站日志中的 $remote_addr 多为 CDN/高防回源 IP，需在代理或 Web 服务器中配置信任代理并使用对应头字段还原真实 IP。
四、日志安全与排错要点
- 日志安全：
- 存储位置：确保日志目录在 Web 根目录之外（如 /var/log/），避免被直接下载。
- 访问限制：在 Nginx 中拦截对 .log/.txt 的直接访问：
- location ~* \.(log|txt)$ { deny all; return 403; }
- 权限最小化：目录 700、日志文件 600，仅授权账户可读。
- 脱敏：避免在日志中记录 完整 Cookie/SessionID 等敏感信息，必要时在日志格式或采集链路中脱敏。
- 快速排错：
- 访问异常（5xx/卡顿）：先在 高防安全总览 与 全量日志 检查是否触发 清洗/限流/攻击；再在 源站 error.log 与 access.log 结合 $status/$http_user_agent/$http_x_forwarded_for 定位失败来源与 UA 特征；如接入 CDN，同步查看 CDN 监控/日志 判断是否为回源问题或节点异常。
- 攻击溯源：在 高防攻击告警日志 中按 攻击类型、源 IP、时间段 筛选，结合 安全报表 与 全量日志 交叉验证，必要时联动 WAF/防火墙 做封禁与策略优化。
以上做法覆盖日志泄露/投毒防护与常见故障定位路径。