Topik ini menjelaskan field proprietary dalam log Web Application Firewall (WAF).
Referensi field
Tabel berikut menjelaskan field proprietary dalam log WAF. Anda dapat mencari field berdasarkan namanya.
Awal | Field |
a |
|
b |
|
c |
|
d |
|
f | Aksi perlindungan akhir terhadap permintaan: final_action | final_plugin | final_rule_id | final_rule_type |
h |
|
j |
|
m |
|
n | Aturan non-terminating yang sesuai: non_terminating_rules |
p | Menunjukkan status penggunaan Proxy Protocol dalam format bitmap: pp_state |
q | String kueri permintaan: querystring |
r |
|
s |
|
t |
|
u |
|
w |
|
Field wajib
Field wajib selalu disertakan dalam log WAF.
Parameter | Deskripsi | Contoh |
bypass_matched_ids | ID aturan WAF yang mengizinkan permintaan. Ini mencakup aturan daftar putih dan aturan perlindungan kustom dengan aksi "Allow". Jika permintaan sesuai dengan beberapa aturan izin, field ini mencatat semua ID-nya, dipisahkan dengan koma (,). | 283531 |
content_type | Tipe konten permintaan. | application/x-www-form-urlencoded |
dst_port | Port tujuan permintaan. | 443 |
final_action | Aksi akhir yang diambil WAF terhadap permintaan. Nilai yang valid:
Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. Field ini dihilangkan jika permintaan tidak memicu modul perlindungan apa pun, seperti saat sesuai dengan aturan izin atau diizinkan setelah klien melewati tantangan. Jika permintaan memicu beberapa modul perlindungan, field ini hanya mencatat aksi dengan prioritas tertinggi. Aksi diprioritaskan dalam urutan menurun berikut: block > captcha_strict > captcha > js. | block |
final_plugin | Modul perlindungan yang sesuai dengan
Field ini tidak dicatat jika permintaan tidak memicu modul perlindungan apa pun, seperti saat sesuai dengan aturan izin atau diizinkan setelah klien melewati tantangan. Jika permintaan memicu beberapa modul perlindungan, field ini hanya mencatat modul yang sesuai dengan final_action. | waf |
final_rule_id | ID aturan perlindungan yang sesuai dengan final_action. | 115341 |
final_rule_type | Subtipe aturan yang diidentifikasi oleh final_rule_id. Sebagai contoh, aturan dengan | xss/webShell |
host | Nilai header | api.example.com |
http_cookie | Nilai header | k1=v1;k2=v2 |
http_referer | Nilai header Jika permintaan tidak memiliki URL sumber, field ini menampilkan tanda hubung ( | http://example.com |
http_user_agent | Nilai header | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for | Nilai header | 47.100.XX.XX |
https | Menunjukkan apakah permintaan merupakan permintaan HTTPS.
| on |
matched_host | Objek yang dilindungi, seperti instans layanan cloud atau nama domain, yang sesuai dengan permintaan klien. Catatan Karena WAF mendukung nama domain wildcard untuk objek yang dilindungi, permintaan klien mungkin sesuai dengan nama domain wildcard. Misalnya, jika Anda menambahkan | *.aliyundoc.com |
request_uri | Jalur dan parameter permintaan. | /news/search.php?id=1 |
real_client_ip | Alamat IP klien sebenarnya, yang ditentukan WAF setelah menganalisis permintaan. Anda dapat menggunakan alamat IP ini secara langsung dalam layanan Anda. Jika WAF tidak dapat menentukan alamat IP klien sebenarnya, misalnya karena klien menggunakan server proxy atau field terkait IP dalam header permintaan salah, field ini menampilkan tanda hubung ( | 192.0.XX.XX |
region | ID wilayah instans WAF. Nilai yang valid:
| cn |
src_port | Port klien atau proxy yang terhubung langsung ke WAF. Jika klien terhubung langsung ke WAF, field ini menunjukkan port klien. Jika proxy lapisan 7 lain, seperti CDN, ditempatkan di depan WAF, field ini menunjukkan port proxy tersebut. | 80 |
src_ip | Alamat IP klien atau proxy yang terhubung langsung ke WAF. Jika klien terhubung langsung ke WAF, field ini menunjukkan alamat IP klien. Jika proxy lapisan 7 lain, seperti CDN, ditempatkan di depan WAF, field ini menunjukkan alamat IP proxy tersebut. | 198.51.XX.XX |
start_time | Timestamp Unix (dalam detik) yang menunjukkan kapan klien memulai permintaan. | 1696534058 |
request_length | Ukuran permintaan (dalam byte), termasuk baris permintaan, header, dan badan. | 111111 |
request_method | Metode permintaan. | GET |
request_time_msec | Waktu (dalam milidetik) yang dibutuhkan WAF untuk memproses permintaan. | 44 |
request_traceid | ID unik yang dihasilkan WAF untuk permintaan tersebut. | 7837b11715410386943437009ea1f0 |
request_traceid_origin | ID asli permintaan. | 7ce319151*****18890e |
remote_region_id | ID wilayah geografis tempat alamat IP tersebut berada. | 410000 |
server_protocol | Protokol yang digunakan antara klien dan WAF. Penting Field ini tidak didukung untuk objek yang dilindungi berupa layanan Function Compute (FC). | HTTP/1.1 |
ssl_cipher | Paket sandi yang digunakan oleh permintaan klien. | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | Protokol dan versi SSL/TLS yang digunakan oleh permintaan klien. | TLSv1.2 |
status | Kode status HTTP yang dikembalikan WAF ke klien. Misalnya, 200 menunjukkan bahwa permintaan berhasil. | 200 |
time | Waktu saat klien memulai permintaan. Waktu dalam UTC dan diformat sesuai standar ISO 8601 dalam format | 2018-05-02T16:03:59+08:00 |
upstream_addr | Alamat IP dan port server origin. Formatnya Penting Field ini tidak didukung untuk objek yang dilindungi berupa layanan Function Compute (FC). | 198.51.XX.XX:443 |
upstream_response_time | Waktu (dalam detik) yang dibutuhkan server origin untuk merespons permintaan kembali ke origin dari WAF. | 0.044 |
upstream_status | Kode status HTTP yang dikembalikan server origin untuk permintaan kembali ke origin dari WAF. Misalnya, 200 menunjukkan bahwa permintaan berhasil. | 200 |
user_id | ID akun Alibaba Cloud tempat instans WAF tersebut berada. | 17045741******** |
Field opsional
Anda dapat mengaktifkan field opsional agar disertakan dalam log WAF (Web Application Firewall). WAF hanya mencatat field opsional yang telah diaktifkan.
Pengaktifan field opsional akan meningkatkan penggunaan penyimpanan log. Jika ruang penyimpanan mencukupi, kami menyarankan untuk mengaktifkan field opsional tambahan guna mendukung analisis log yang lebih mendetail.
Parameter | Deskripsi | Contoh |
account | Informasi akun yang diekstraksi. Untuk menggunakan field ini, Anda harus terlebih dahulu mengonfigurasi objek yang dilindungi dan grup objek yang dilindungi. | user1 |
acl_action | Aksi perlindungan yang diambil saat permintaan sesuai dengan daftar hitam alamat IP atau aturan kontrol akses. Nilai yang valid:
Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
acl_rule_id | ID aturan yang sesuai. Aturan tersebut dapat berupa daftar hitam alamat IP, kontrol akses, daftar hitam wilayah, intelijen ancaman, perlindungan bot dasar, atau aturan perlindungan aplikasi manajemen bot. | 151235 |
acl_rule_type | Jenis aturan daftar hitam alamat IP atau kontrol akses yang sesuai. Nilai yang valid:
| custom |
acl_test | Mode perlindungan aturan daftar hitam alamat IP atau kontrol akses yang sesuai. Nilai yang valid:
Catatan Saat | false |
antiscan_action | Aksi yang diambil oleh aturan perlindungan pemindaian. Satu-satunya nilai yang valid adalah block. Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
antiscan_rule_id | ID aturan perlindungan pemindaian yang sesuai. | 151235 |
antiscan_rule_type | Jenis aturan perlindungan pemindaian yang sesuai. Nilai yang valid:
| highfreq |
antiscan_test | Mode perlindungan aturan perlindungan pemindaian yang sesuai. Nilai yang valid:
| false |
body_bytes_sent | Ukuran badan respons, dalam byte. Ukuran ini tidak termasuk header respons. Penting Field ini tidak didukung untuk objek yang dilindungi berupa layanan Function Compute (FC). | 1111 |
cc_action | Aksi yang diambil oleh aturan atau pembatasan kecepatan. Nilai yang valid:
Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
cc_rule_id | ID aturan atau pembatasan kecepatan yang sesuai. | 151234 |
cc_rule_type | Jenis aturan atau pembatasan kecepatan yang sesuai. Nilai yang valid:
| custom |
cc_test | Mode perlindungan aturan atau pembatasan kecepatan yang sesuai. Nilai yang valid:
| false |
request_body | Badan permintaan. Maksimal 8 KB badan permintaan dicatat. | test123curl -ki https://automated-acltest02.***.top/ --resolve automated-acltest02.***.top:443:39.107.XX.XX |
request_headers_all | Semua header dalam permintaan. | { "Accept": "*/*", "Accept-Encoding": "gz**, de**te, **r", "Accept-Language": "zh-Hans-CN;q=1", "Connection": "keep-***ve", "Content-Length": "1**6", "Content-Type": "application/json", "Cookie": "cookie_key=***; acw_tc=0abc****opqrstuvwxyz0***7890;", "Host": "1.****.****.1", ... } |
request_header | Header permintaan kustom. Setelah memilih field ini, Anda harus menentukan nama header permintaan yang akan dicatat. Anda dapat menambahkan hingga lima header permintaan kustom. Pisahkan beberapa nama header dengan koma (,). Penting Field ini tidak didukung untuk objek yang dilindungi berupa Microservices Engine (MSE) atau layanan Function Compute (FC). | {"ttt":"abcd"} |
server_port | Port WAF yang menerima permintaan. Penting Field ini tidak didukung untuk objek yang dilindungi berupa Microservices Engine (MSE), Application Load Balancer (ALB), atau layanan Function Compute (FC). | 443 |
waf_action | Aksi yang diambil oleh aturan perlindungan inti. Satu-satunya nilai yang valid adalah block. Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
waf_rule_id | ID aturan perlindungan inti yang sesuai. Catatan Anda dapat menemukan ID ini di tab Core Protection Rule pada halaman Security Reports. Untuk informasi lebih lanjut, lihat Laporan Keamanan. | 113406 |
waf_rule_type | Jenis aturan perlindungan inti yang sesuai. Nilai yang valid:
| xss |
waf_test | Mode perlindungan aturan perlindungan inti yang sesuai. Nilai yang valid:
| false |
major_protection_action | Aksi yang diambil oleh aturan perlindungan acara besar. Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
major_protection_rule_id | ID aturan yang sesuai dari template perlindungan acara besar. | 2221 |
major_protection_rule_type | Jenis aturan yang sesuai dari template perlindungan acara besar. Nilai yang valid:
| waf_blocks |
major_protection_test | Mode perlindungan aturan perlindungan acara besar yang sesuai. Nilai yang valid:
| true |
response_set_cookie | Header Set-Cookie dalam respons. Penting Field ini tidak didukung untuk objek yang dilindungi berupa Application Load Balancer (ALB), Microservices Engine (MSE), atau layanan Function Compute (FC). | acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800 |
response_header | Semua header dalam respons. Penting Field ini tidak didukung untuk objek yang dilindungi berupa Application Load Balancer (ALB), Microservices Engine (MSE), atau layanan Function Compute (FC). | {"transfer-encoding":"chunked","set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"} |
response_info | Badan respons. Maksimal 16 KB badan respons dicatat. Jika nilai header content-encoding adalah gzip, badan respons dikodekan Base64. Penting Field ini tidak didukung untuk objek yang dilindungi berupa Application Load Balancer (ALB), Microservices Engine (MSE), atau layanan Function Compute (FC). | $_POST received: <br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA'] received: <br/> <hr/> php://input received: *** |
request_path | Jalur permintaan, yaitu bagian URL setelah nama domain dan sebelum string kueri (?). | /news/search.php |
dlp_action | Aksi perlindungan yang diambil oleh aturan pencegahan kebocoran data. Nilai yang valid:
Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
dlp_rule_id | ID aturan pencegahan kebocoran data yang sesuai. | 20031483 |
dlp_test | Mode perlindungan aturan pencegahan kebocoran data yang sesuai. Nilai yang valid:
| true |
querystring | String kueri permintaan, yaitu bagian URL yang mengikuti tanda tanya ( | title=tm_content%3Darticle&pid=123 |
scene_action | Aksi perlindungan yang diambil oleh aturan spesifik skenario manajemen bot. Nilai yang valid:
Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | js |
scene_id | ID skenario aturan spesifik skenario manajemen bot yang sesuai. | a82d992b_bc8c_47f0_87ce_****** |
scene_rule_id | ID aturan spesifik skenario manajemen bot dan aturan konfigurasi perlindungan dasar yang sesuai. | js-a82d992b_bc8c_47f0_87ce_****** |
scene_rule_type | Jenis aturan spesifik skenario manajemen bot yang sesuai. Nilai yang valid:
| bot_aialgo |
scene_test | Mode perlindungan aturan spesifik skenario manajemen bot yang sesuai. Nilai yang valid:
| true |
remote_addr | Alamat IP yang terhubung langsung ke WAF. Jika klien terhubung langsung ke WAF, field ini mencatat alamat IP klien. Jika proxy lapisan 7 seperti CDN ditempatkan di depan WAF, field ini mencatat alamat IP proxy tersebut. | 198.51.XX.XX |
remote_port | Port yang terhubung langsung ke WAF. Jika klien terhubung langsung ke WAF, field ini mencatat port klien. Jika proxy lapisan 7 seperti CDN ditempatkan di depan WAF, field ini mencatat port proxy tersebut. | 80 |
waf_hit | Muatan serangan yang sesuai dengan aturan perlindungan dasar. | {"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}} |
compliance_hit | Konten yang sesuai dengan aturan pelanggaran protokol. | **********7df271da040a |
compliance_action | Aksi yang diambil oleh aturan pelanggaran protokol. Satu-satunya nilai yang valid adalah Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
compliance_rule_id | ID aturan pelanggaran protokol yang sesuai. | 300033 |
compliance_rule_type | Jenis aturan pelanggaran protokol yang sesuai. Satu-satunya nilai yang valid adalah protocol_violation. | protocol_violation |
compliance_test | Mode perlindungan aturan pelanggaran protokol yang sesuai. Nilai yang valid:
| false |
sema_hit | Konten yang sesuai dengan aturan analisis semantik. | {"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}} |
sema_action | Aksi yang diambil oleh aturan analisis semantik. Satu-satunya nilai yang valid adalah block. Untuk informasi lebih lanjut tentang aksi perlindungan WAF, lihat Deskripsi field *_action. | block |
sema_rule_id | ID aturan analisis semantik yang sesuai. | 810015 |
sema_rule_type | Jenis aturan analisis semantik yang sesuai. Satu-satunya nilai yang valid adalah sqli, yang menunjukkan aturan injeksi SQL. | sqli |
sema_test | Mode perlindungan aturan analisis semantik yang sesuai. Nilai yang valid:
| false |
wxbb_info_tbl | Informasi perangkat dari permintaan yang sesuai dengan aturan perlindungan aplikasi untuk manajemen bot. | { "abnormal_imei": "0", "abnormal_time": "1", ***** "appversion": "9.4.3", "brand": "Android", ***** } |
websdk_umid | Identifikasi perangkat unik untuk klien web, diidentifikasi oleh manajemen bot. | 6543211729a19aa0123456 |
appsdk_umid | Identifikasi perangkat unik untuk klien aplikasi, diidentifikasi oleh manajemen bot. | 3c76912d48ec5eb1ea6cb775ce1ba609 |
client_id | Jenis klien yang diidentifikasi oleh manajemen bot. | Python-urllib |
ja3_fingerprint | Sidik jari JA3 trafik, diidentifikasi oleh manajemen bot. | 5c9e5897bbebcef37337bffb97587518 |
ja4_fingerprint | Sidik jari JA4 trafik, diidentifikasi oleh manajemen bot. | b251a742b13fde5fba044eddfd05af34 |
http2_fingerprint | Sidik jari HTTP/2 trafik, diidentifikasi oleh manajemen bot. | 52d84b11737d980aef856699f885ca86 |
non_terminating_rules | Informasi tentang permintaan yang sesuai dengan aturan yang memiliki aksi non-terminating. Ini mencakup permintaan yang sesuai dengan aturan yang memiliki aksi Log atau Origin Custom Header, dan permintaan yang berhasil melewati tantangan seperti JavaScript Validation, CAPTCHA, Strict CAPTCHA, atau Dynamic Token. Ini sesuai dengan permintaan di mana field | [{"id":"12345678","action":"monitor","defense_scene":"waf_base"},{"id":"123123123","type":"suspicious_idc","action":"monitor","defense_scene":"bot_manager"}, {"id":"12341234","bypass_punish":"1","defense_scene":"custom_acl"}] Catatan Dalam contoh ini, |
terminating_rules | Informasi tentang permintaan yang sesuai dengan aturan yang memiliki aksi terminating. Ini mencakup permintaan yang sesuai dengan aksi Block, dan permintaan yang gagal melewati tantangan seperti JavaScript Validation, CAPTCHA, Strict CAPTCHA, atau Dynamic Token. Ini sesuai dengan permintaan di mana field | [{"id":"123456","action":"block","defense_scene":"custom_acl"}] |
remote_country_id | ID negara yang terkait dengan alamat IP. | CN |
pp_state |
Anda dapat menggunakan operasi AND bitwise (&) untuk memeriksa apakah bendera tertentu diatur. | 6 (biner |
Field *_action
Field *_action menunjukkan aksi perlindungan untuk aturan perlindungan. Sebagai contoh, final_action menentukan aksi akhir yang diambil oleh WAF, sedangkan waf_action menentukan aksi untuk aturan perlindungan inti. Aksi yang didukung bervariasi tergantung pada jenis aturan perlindungan. Untuk informasi lebih lanjut, lihat deskripsi parameter yang sesuai.
Tabel berikut mencantumkan aksi perlindungan yang didukung oleh WAF.
Aksi | Deskripsi |
block | Memblokir permintaan web dan mengembalikan halaman error HTTP 405 ke klien. |
captcha_strict | Menjalankan verifikasi CAPTCHA slider ketat. WAF menampilkan halaman CAPTCHA slider kepada klien. WAF hanya mengizinkan permintaan jika klien berhasil menyelesaikan CAPTCHA tersebut. Jika tidak, permintaan diblokir. Dalam mode ini, setiap permintaan dari klien memerlukan verifikasi. |
captcha | Menjalankan verifikasi CAPTCHA slider umum. WAF menampilkan halaman CAPTCHA slider kepada klien. Jika klien berhasil menyelesaikan CAPTCHA tersebut, WAF mengizinkan permintaan selanjutnya dari klien selama periode tertentu (default: 30 menit) tanpa verifikasi ulang. Jika tidak, permintaan diblokir. |
js | Menjalankan validasi JavaScript. WAF mengeluarkan tantangan JavaScript ke browser klien. Jika browser berhasil menjalankan kode JavaScript tersebut, WAF mengizinkan permintaan selanjutnya dari klien selama periode tertentu (default: 30 menit) tanpa tantangan lebih lanjut. Jika tidak, permintaan diblokir. |
js_pass | Menunjukkan bahwa klien berhasil melewati validasi JavaScript, dan WAF mengizinkan permintaan tersebut. |
sigchl | Menjalankan autentikasi token dinamis. WAF menyediakan Web SDK bagi klien untuk menandatangani permintaan keluar. Jika permintaan memiliki tanda tangan yang valid, WAF meneruskannya ke server origin. Jika tanda tangan tidak valid atau tidak ada, WAF menantang klien untuk menandatangani ulang permintaan tersebut. |