请求日志
请求日志记录经过网关的 HTTP 请求,用于确认请求是否到达 fn-knock、匹配了哪个 Host 或路径、最终转发到哪里。它不是登录日志,也不会记录没有进入网关的原始端口连接。
在 系统设置 → 日志 启用网关请求日志并设置保留周期。日志会增加存储和写入开销,排障完成后按实际需要保留。
读一条记录
| 字段 | 用途 |
|---|---|
| 客户端 IP / 连接来源 IP | 对比真实访问者与网关实际 TCP 对端,排查 CDN、反代和 Docker 链路 |
| 方法、Host、路径 | 判断请求匹配的是哪个服务 |
| 路由类型、上游目标 | 判断 Host/路径规则是否命中正确目标 |
| 认证状态 | 判断是会话、白名单、本地豁免还是未授权导致的结果 |
| 状态码、耗时 | 区分网关拒绝、上游错误和慢响应 |
推荐排障顺序
- 从外网发起一次可复现请求。
- 查找对应 Host 和路径,确认请求是否到达网关。
- 对照客户端 IP,确认没有把代理地址误当作访问者。
- 检查认证状态和访问策略。
- 再检查上游目标、状态码和应用自身日志。
如果日志中完全没有请求,问题通常在 DNS、CDN、隧道、路由器或端口暴露之前;不要先修改映射规则。
处理可疑 IP
确认是实际攻击来源后,可以从日志跳转到通用黑名单或 IP 白名单操作。操作前先排除共享出口和前置代理地址,并保留时间、Host、路径等上下文。
