Логи запросов

Инструмент показывает детальную информацию по каждому запросу — вы увидите данные по 21 параметру.

Чем полезны «Логи запросов»

Вы увидите контекст каждого запроса: кто отправил, откуда, что и как запросил, как сработала защита и по какой причине. Информация детальная — от базовой сетевой атрибуции (IP, подсеть, ASN) до цифровых отпечатков клиента разной строгости.

Все характеристики запроса

Инструмент поможет:

  • Анализировать трафик к вашему сайту/приложению

  • Расследовать инциденты

  • Диагностировать проблемы ваших пользователей

Ниже пара примеров, когда вам пригодятся Логи запросов — кликните на название, чтобы раскрыть текст.

Пользователь жалуется, что ваш сайт недоступен

Пользователь пытался зайти на сайт и получил ошибку 403 Forbidden. Он написал вам и приложил диагностические данные со страницы ошибки: ID запроса, IP и время.

Вы открыли Логи запросов, отфильтровали записи по Request ID и увидели, что запрос заблокирован по геофильтрации: вы сами запретили доступ из-за границы, а запрос пришёл с иностранного IP. Позже выяснилось, что у пользователя был включён VPN.

Настройки вы менять не стали — система сработала корректно. Зато добавили на страницу 403 подсказку с советом отключить VPN. Теперь пользователи быстрее решают проблему сами и реже обращаются в поддержку.

Застраховать эндпоинт от перегрузки

Вы открыли Аналитику на вкладке Топ запросов и заметили много обращений к странице /search/advanced. Она отвечает за расширенный поиск по сайту. Функционал полезный, но ресурсоёмкий — если запросов станет ещё больше, это может перегрузить бэкенд.

Вы решили узнать, кто вообще обращается к странице: перешли в Логи запросов и поставили фильтр Path = /search/advanced. В логах видно, что страницу активно запрашивают не только люди, но и боты. Похоже, они парсят контент.

Чтобы снизить нагрузку, вы добавили пользовательское правило для этой страницы: блокировать ботов (Bot, Likely bot), а остальных проверять JS-челленджем. В результате лишняя нагрузка исчезла, а реальные пользователи без проблем пользуются поиском.

Как пользоваться

1. Откройте «Логи запросов».

Перейдите в «Защиту веб-приложений» (левое меню, кнопка посередине). Затем напротив нужного ресурса нажмите …​Логи запросов.

Request Logs upd 1

2. Настройте фильтры.

Срок хранения логов — 2 недели. На экран можно вывести логи за любые 24 часа в пределах этих 2 недель (до 1000 записей).

Кликните Last 1 hour и выберите, за какой период показать логи. Можно использовать один из стандартных вариантов (последние 5/15/30 минут или 1/3/6/24 часа) или указать свой диапазон.

Request Logs upd 2

Клините 🔄 и установите, как часто должен автообновляться список на экране, подтягивая новые логи: каждые 10/30 секунд, 1/5/15/30 минут, 1 час или вообще не обновляться.

Request Logs upd 3

Нажмите Фильтр + и добавьте условия: каким параметрам должны соответствовать/не соответствовать логи, которые вы хотите посмотреть. Полный список фильтров ниже. Если добавить несколько, они будут работать по логике «И» — вы увидите логи, которые удовлетворяют всем фильтрам сразу.

Request Logs upd 4
Открыть список фильтров

Request id — уникальный ID запроса, назначенный нашей системой.

User agent — значение заголовка User-Agent (информация об устройстве и приложении клиента).

Source IP — IP источника.

Hostname — имя хоста (домен), к которому был запрос.

Referer — значение заголовка Referer (URL-адрес, откуда клиент перешёл на ваш ресурс).

Source class — класс источника запроса: бот, вероятно бот, человек или вероятно человек.

Action — действие, которое система защиты применила к запросу — например, пропустила на ваш ресурс или заблокировала.

Reason — причина, по которой было применено действие.

Rule ID — ID сработавшего пользовательского правила.

Country — двухбуквенный код страны, откуда пришёл запрос.

Netname — имя сети, которой принадлежит IP источника.

ASN — номер автономной системы (провайдера) источника.

Subnet — подсеть источника в CIDR-нотации.

SP hash (loose) — хэш цифрового отпечатка клиента (нестрогий). Нестрогий — то есть этот отпечаток включает меньше параметров, чем более строгие версии.

SP hash (medium) — хэш цифрового отпечаток клиента (средний). Средний отпечаток включает больше параметров, чем нестрогий, и меньше, чем строгий.

SP hash (strict) — хэш цифрового отпечатка клиента (строгий). Строгий отпечаток включает максимумум параметров.

ja3 — хэш JA3-отпечатка (TLS-отпечатка клиента, сформированного методом JA3).

Request type — тип контента, который был запрошен: статический (script) или динамический (sctipt_ajax/script). Если значение содержит _ajax, это значит, что запрос был в ajax-локацию.

Method — метод HTTP-запроса.

Path — путь HTTP-запроса.

После выбора фильтра вам выпадет один из операторов:

  • equals any of — соответствует любому из указанных значений

  • is none of — не соответствует ни одному из указанных значений

  • contains any of — содержит любое из значений

  • contains none of — не содержит ни одно из значений

Пример настройки фильтра: найти все запросы из Китая, которые обращались к странице входа /login.php.

  1. Добавьте первый фильтр: Country equals any of CN.

  2. Нажмите Фильтр + еще раз, чтобы добавить второй фильтр.

  3. Добавьте второй фильтр: Path contains any of /login.php.

  4. Оцените результат: в таблице останутся только запросы, которые пришли из Китая и содержали в пути /login.php.

3. Раскройте логи.

Откроется список логов, соответствующих вашим фильтрам.

Все характеристики запроса

Нажмите > в начале строки, чтобы раскрыть все параметры конкретного запроса.

Полный лог запроса

Описание параметров

По каждому запросу вам доступен 21 параметр для анализа. Ниже описываем каждый и приводим примеры.

Параметр Что значит Примеры / возможные значения

Дата и время

Точное время, когда система получила запрос

2025-10-01 16:45:00

Гео (страна)

Страна источника, которую система определила по IP

RU

IP (IP источника)

IP, откуда пришел запрос

203.0.113.42

Действие

Действие, которое система применила к запросу

Pass — пропущен

Block — заблокирован

CAPTCHA — клиенту выдана CAPTCHA

JS-challenge — клиенту выдан JS-челлендж

Cookie-challenge — клиенту выдан cookie-челлендж

Redirect — клиенту выдан редирект

Причина

Причина, по которой система защиты применила Действие

Всего есть 29 возможных причин

Открыть полный список причин

mobile_app — это трафик, классифицированный как трафик легитимного мобильного приложения

local_white — запрос от IP, добавленного вами в белый список

user_blocked_by_score — общий анализ действий и характеристик пользователя выявил нелигитимность. Его запросы будут блокироваться, начиная с текущего.

local_whdr — запрос с разрешённым HTTP-заголовком (whitelisted header); запросы с ним пропускаются без проверок

protection_disabled — защита отключена. Относится как к случаям, когда защита отключена для конкретной локации (к которой был запрос), так и когда она отключена для всего ресурса.

white — запрос от официального проверенного (верифицированного) бота, то есть бота, который выполняет полезные задачи для интернета в целом — например, поискового краулера или системы uptime-мониторинга. Наша система защиты постоянно проверяет и обновляет список таких ботов. Запросы от них по умолчанию пропускаются без проверок.

conn_blocked_by_hosting — подсеть имеет плохую репутацию, из неё часто шлют запросы боты

local_whdrl — запрос с разрешённым HTTP-заголовком (whitelisted header) с ограниченным (limited) доверием. Такие запросы система пропускает без проверок, пока их число не превысит установленный лимит (например, 2000 запросов в минуту). Все запросы сверх лимита будут проверяться политикой фильтрации, установленной для вашего ресурса.

conn_blocked_by_no_cookie — запрос обязан был содержать cookie Servicepipe, но пришёл без неё

user_blocked — запрос от заблокированного пользователя (решение о его блокировке было принято раньше, во время одного из предыдущих запросов)

check_force — согласно текущей политике безопасности, такому запросу нужно выдать дополнительную проверку

captcha_pass — недавно пользователь успешно прошёл CAPTCHA, чем подтвердил свою легитимность

captcha_set_cookie_redirect — пользователь уже успешно прошёл CAPTCHA, и сейчас происходит выставление нашей cookie, с которой он какое-то время сможет проходить на ваш ресурс без проверок

behavior_pass — пользователь признан легитимным на основании поведенческого анализа

user_blocked_by_behavior — поведенческий анализ выявил аномальную активность. Запросы пользователя будут блокироваться, начиная с текущего.

custom_white_bot — мы обелили данный тип трафика по вашей просьбе

set_cookie_redirect — происходит выставление cookie в рамках cookie-челленджа

local_bgeo — запрос отправлен из страны, которую вы запретили при настройках геофильтрации

captcha_invalid — пользователь неправильно прошёл CAPTCHA

invalid_uid — обнаружено вмешательство в cookie, трафик подозрительный

white_corp — запрос из подсети, которую мы обелили по вашей просьбе

user_blocked_by_no_correct_cookie — пользователь отправил запрос без требуемой cookie, что указывает на нелигитимность. Запросы пользователя будут блокироваться, начиная с текущего.

ip_blocked_by_spec — превышен лимит запросов с одного IP

ip_blocked — с этого IP недавно уже приходили подозрительные запросы, поэтому он временно заблокирован. Чтобы узнать причину изначальной блокировки, откройте лог предыдущих запросов с этого IP.

invalid_method — клиент использовал метод HTTP-запроса, несовместимый с локацией, куда пришёл запрос

local_black — запрос с IP, добавленного вами в чёрный список

cookie_disabled — клиент не может выставить требуемую cookie.

user_blocked_by_spec — пользователь превысил один из лимитов запросов, установленных политикой защиты для вашего ресурса. Запросы пользователя будут блокироваться, начиная с текущего.

user_blocked_by_rate — пользователь превысил системный лимит запросов к динамическому контенту. Запросы пользователя будут блокироваться, начиная с текущего.

Исходный класс

Класс, присвоенный клиенту после анализа запроса

Bot — бот

Likely bot — скорее всего, бот

Likely Human — скорее всего, человек

Human — человек

User agent (UA)

HTTP-заголовок User-Agent, который передал клиент

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

Метод (Method)

Метод HTTP-запроса

GET

Путь (Path)

Путь HTTP-запроса

/cart/add_item.php

Хост

Имя хоста (домен), к которому был адресован запрос

example.com

HTTP-реферер (HTTP Referer)

Значение HTTP-заголовка Referer (URL-адрес, откуда клиент перешёл на ваш ресурс)

google.com

Идентификатор запроса

Уникальный ID запроса, присвоенный нашей системой

RCUxTDAsQ4Y1

Subnet (Подсеть)

Подсеть, которой принадлежит IP, откуда был отправлен запрос

192.168.1.0/24

ASN

Номер и название автономной системы (провайдера), которой принадлежит IP источника запроса

25513

Netname (Имя сети)

Зарегистрированное имя сети для диапазона IP-адресов, которому принадлежит IP источника запроса

PJSC Moscow city telephone network

Описание метки

Признаки, по которым система защиты определила, какому Исходному классу соответствует клиент

incomplete matching of parameters: l3/l4 parameters is suspicious; ssl parameters is typical; headers parameters is typical;

JA3

хэш JA3-отпечатка (TLS-отпечатка клиента, сформированного методом JA3)

1853fc69934911ef336d46bb3ae6114f

SP hash (loose)

Хэш цифрового отпечатка клиента (нестрогий); «нестрогий» значит, что этот отпечаток включает меньше параметров, чем более строгие версии

6580053349536791840

SP hash (medium)

Хэш цифрового отпечатка клиента (средний); средний отпечаток включает больше параметров, чем нестрогий, и меньше, чем строгий

2894249210178919151

SP hash (strict)

Хэш цифрового отпечатка клиента (строгий); строгий отпечаток включает максимум параметров

2894249210178919183

Тип запроса

Тип запрошенного контента: статический или динамический

script — запрос динамического контента; запрос был сделан в не-ajax-локацию

script_ajax — запрос динамического контента; запрос был сделан в ajax-локацию

static — запрос статического контента