Topik ini menjelaskan bidang-bidang yang terdapat dalam log Web Application Firewall (WAF).
Tabel untuk pengambilan bidang
Tabel berikut menjelaskan bidang log yang didukung oleh WAF. Anda dapat menggunakan nama-nama bidang log untuk mengambil bidang tersebut.
Inisial | Bidang |
a |
|
b |
|
c |
|
d | Bidang terkait pencegahan kebocoran data: dlp_action | dlp_rule_id | dlp_test |
f | Bidang terkait tindakan yang dilakukan oleh WAF pada permintaan: final_action | final_plugin | final_rule_id | final_rule_type |
h |
|
m |
|
q | Bidang yang digunakan untuk mencatat string kueri: querystring |
r |
|
s |
|
t | Bidang yang digunakan untuk mencatat waktu ketika permintaan dimulai: time |
u |
|
w |
|
Bidang Wajib
Bidang wajib adalah bidang yang harus disertakan dalam log WAF.
Bidang | Deskripsi | Contoh |
bypass_matched_ids | ID aturan yang cocok yang mengizinkan permintaan. Aturan tersebut bisa berupa aturan daftar putih atau aturan perlindungan kustom. Jika beberapa aturan cocok pada saat yang sama untuk mengizinkan permintaan, bidang ini mencatat semua ID aturan tersebut. Beberapa ID dipisahkan dengan koma (,). | 283531 |
content_type | Jenis konten yang diminta. | application/x-www-form-urlencoded |
final_action | Tindakan yang dilakukan oleh WAF pada permintaan. Nilai valid:
Untuk informasi tentang tindakan yang dilakukan oleh WAF pada permintaan, lihat Deskripsi bidang *_action. Jika permintaan tidak memicu modul perlindungan, bidang ini tidak dicatat. Misalnya, jika permintaan cocok dengan aturan yang mengizinkan permintaan atau klien lulus verifikasi CAPTCHA slider atau validasi JavaScript, bidang ini tidak dicatat. Jika permintaan memicu beberapa modul perlindungan pada saat yang sama, bidang ini dicatat. Bidang ini hanya mencakup tindakan yang dilakukan. Tindakan berikut terdaftar dalam urutan prioritas menurun: memblokir (block), verifikasi CAPTCHA slider ketat (captcha_strict), verifikasi CAPTCHA slider umum (captcha), dan validasi JavaScript (js). | block |
final_plugin | Modul perlindungan berdasarkan tindakan yang dilakukan pada permintaan. Bidang final_action mencatat tindakan yang dilakukan. Nilai valid:
Jika permintaan tidak memicu modul perlindungan, bidang ini tidak dicatat. Misalnya, jika permintaan cocok dengan aturan yang mengizinkan permintaan atau klien lulus verifikasi CAPTCHA slider atau validasi JavaScript, bidang ini tidak dicatat. Jika permintaan memicu beberapa modul perlindungan pada saat yang sama, bidang ini hanya mencatat modul perlindungan berdasarkan tindakan akhir yang dilakukan. Bidang final_action mencatat tindakan yang dilakukan. | waf |
final_rule_id | ID aturan berdasarkan tindakan akhir yang dilakukan. Bidang final_action mencatat tindakan yang dilakukan. | 115341 |
final_rule_type | Subtipe aturan berdasarkan tindakan akhir yang dilakukan. Bidang final_rule_id mencatat aturan tersebut. Sebagai contoh, | xss/webShell |
host | Bidang Host dari header permintaan yang berisi nama domain yang diminta atau alamat IP. Nilai bidang ini bervariasi berdasarkan pengaturan layanan Anda. | api.example.com |
http_cookie | Bidang Cookie dari header permintaan yang berisi informasi tentang cookie yang terkait dengan permintaan. | k1=v1;k2=v2 |
http_referer | Bidang Referer dari header permintaan yang berisi informasi tentang URL sumber permintaan. Jika tidak ada informasi URL sumber, nilai bidang ditampilkan sebagai tanda hubung ( | http://example.com |
http_user_agent | Bidang User-Agent dari header permintaan yang berisi informasi tentang browser dan sistem operasi. | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for | Bidang X-Forwarded-For (XFF) dari header permintaan. Bidang ini digunakan untuk mengidentifikasi alamat IP asal klien yang terhubung ke server web menggunakan proxy HTTP atau perangkat load balancing. | 47.100.XX.XX |
https | Menunjukkan apakah permintaan adalah permintaan HTTPS.
| on |
matched_host | Objek yang dilindungi yang diminta. Objek yang dilindungi dapat berupa instans atau nama domain. Catatan Nama domain dapat berupa kecocokan tepat atau nama domain wildcard. Sebagai contoh, jika nama domain *.aliyundoc.com ditambahkan ke WAF dan www.aliyundoc.com diminta, nama domain *.aliyundoc.com adalah objek yang dilindungi yang diminta. | *.aliyundoc.com |
querystring | String kueri dalam permintaan. String kueri adalah string data yang ditambahkan di akhir URL permintaan. String kueri dipisahkan dari URL permintaan oleh tanda tanya (?). | title=tm_content%3Darticle&pid=123 |
real_client_ip | Alamat IP asal klien yang mengirim permintaan. WAF mengidentifikasi alamat IP berdasarkan analisis permintaan. Jika WAF tidak dapat mengidentifikasi alamat IP asal klien, seperti ketika server proxy digunakan atau bidang IP dalam header permintaan tidak valid, nilai bidang ditampilkan sebagai tanda hubung ( | 192.0.XX.XX |
region | ID wilayah tempat instans WAF diterapkan. Nilai valid:
| cn |
remote_addr | Alamat IP yang digunakan untuk terhubung ke WAF. Jika tidak ada proxy Lapisan 7 yang ditempatkan di depan WAF, bidang ini mencatat alamat IP klien. Jika proxy Lapisan 7, seperti Alibaba Cloud CDN, ditempatkan di depan WAF, bidang ini mencatat alamat IP proxy Lapisan 7. | 198.51.XX.XX |
remote_port | Port yang digunakan untuk terhubung ke WAF. Jika tidak ada proxy Lapisan 7 yang ditempatkan di depan WAF, bidang ini mencatat port klien. Jika proxy Lapisan 7, seperti Alibaba Cloud CDN, ditempatkan di depan WAF, bidang ini mencatat port proxy Lapisan 7. | 80 |
request_length | Jumlah byte dalam permintaan, termasuk byte dalam baris permintaan, header permintaan, dan body permintaan. Satuan: byte. | 111111 |
request_method | Metode permintaan. | GET |
request_path | Path relatif yang diminta. Path relatif merujuk pada bagian antara nama domain dan tanda tanya (?) dalam URL permintaan. Path relatif tidak termasuk string kueri. | /news/search.php |
request_time_msec | Waktu yang dibutuhkan oleh WAF untuk memproses permintaan. Satuan: milidetik. | 44 |
request_traceid | Pengenal unik yang dihasilkan oleh WAF untuk permintaan klien. | 7837b11715410386943437009ea1f0 |
server_protocol | Protokol dan versi yang digunakan oleh server asal untuk merespons permintaan yang diteruskan oleh WAF. Penting Bidang ini tidak didukung untuk nama domain kustom yang terikat pada aplikasi web di Function Compute. | HTTP/1.1 |
ssl_cipher | Suite sandi yang digunakan oleh klien. | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | Protokol SSL atau TLS dan versi yang digunakan dalam permintaan. | TLSv1.2 |
status | Kode status HTTP yang termasuk dalam respons dari WAF ke klien. Contoh: Kode status HTTP 200 menunjukkan bahwa permintaan diterima dan diterima. | 200 |
time | Titik waktu ketika permintaan dimulai. Waktu mengikuti standar ISO 8601 dalam format | 2018-05-02T16:03:59+08:00 |
upstream_addr | Alamat IP dan nomor port server asal. Formatnya adalah Penting Bidang ini tidak didukung untuk nama domain kustom yang terikat pada aplikasi web di Function Compute. | 198.51.XX.XX:443 |
upstream_response_time | Waktu yang diperlukan oleh server asal untuk merespons permintaan yang diteruskan oleh WAF. Satuan: detik. | 0.044 |
upstream_status | Kode status HTTP yang dikirim oleh server asal sebagai respons terhadap permintaan yang diteruskan oleh WAF. Contoh: Kode status HTTP 200 menunjukkan bahwa permintaan diterima dan diterima. | 200 |
user_id | ID akun Alibaba Cloud tempat instans WAF berada. | 17045741******** |
Bidang Opsional
Anda dapat mengaktifkan bidang opsional dalam log WAF sesuai dengan kebutuhan bisnis Anda. Log WAF hanya mencatat bidang opsional yang diaktifkan.
Jika Anda mengaktifkan bidang opsional, log WAF akan memerlukan lebih banyak ruang penyimpanan. Jika kapasitas penyimpanan log Anda mencukupi, kami menyarankan untuk mengaktifkan bidang opsional tambahan guna menganalisis log secara lebih komprehensif. Untuk informasi lebih lanjut tentang cara mengonfigurasi bidang opsional, lihat Konfigurasi Pengaturan Log.
Bidang | Deskripsi | Contoh |
acl_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan daftar hitam alamat IP atau aturan kontrol akses kustom. Nilai valid:
Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
acl_rule_id | ID aturan daftar hitam alamat IP atau aturan kontrol akses kustom yang cocok. | 151235 |
acl_rule_type | Jenis aturan daftar hitam alamat IP atau aturan kontrol akses kustom yang cocok. Nilai valid:
| custom |
acl_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan daftar hitam alamat IP atau aturan kontrol akses kustom. Nilai valid:
| false |
antiscan_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan perlindungan pemindaian. Nilai bidang ini tetap block, yang menunjukkan bahwa permintaan diblokir. Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
antiscan_rule_id | ID aturan perlindungan pemindaian yang cocok. | 151235 |
antiscan_rule_type | Jenis aturan perlindungan pemindaian yang cocok. Nilai valid:
| highfreq |
antiscan_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan perlindungan pemindaian. Nilai valid:
| false |
body_bytes_sent | Jumlah byte dalam body respons yang dikembalikan server ke klien. Jumlah byte header respons tidak dihitung. Satuan: byte. Penting Bidang ini tidak didukung untuk nama domain kustom yang terikat pada aplikasi web di Function Compute. | 1111 |
cc_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan aturan throttling kustom. Nilai valid:
Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
cc_rule_id | ID aturan aturan throttling kustom yang cocok. | 151234 |
cc_rule_type | Jenis aturan yang cocok. Nilai bidang ini tetap custom, yang menunjukkan bahwa aturan throttling kustom cocok. | custom |
cc_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan aturan throttling kustom. Nilai valid:
| false |
request_body | Body permintaan. Nilainya bisa mencapai 8 KB. | test123curl -ki https://automated-acltest02.***.top/ --resolve automated-acltest02.***.top:443:39.107.XX.XX |
request_header | Header permintaan kustom. Jika Anda mengaktifkan bidang ini, Anda harus menentukan header permintaan. Anda dapat menambahkan hingga lima header permintaan kustom. Pisahkan beberapa header permintaan dengan koma (,). Penting Bidang ini tidak didukung untuk instans ALB, instans MSE, dan nama domain kustom yang terikat pada aplikasi web di Function Compute. | {"ttt":"abcd"} |
server_port | Port tujuan yang diminta. Penting Bidang ini tidak didukung untuk nama domain kustom yang terikat pada aplikasi web di Function Compute. | 443 |
waf_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan perlindungan dasar. Nilai bidang ini tetap block, yang menunjukkan bahwa permintaan diblokir. Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
waf_rule_id | ID aturan perlindungan dasar yang cocok. Catatan ID aturan ditampilkan pada tab Basic Protection Rule halaman Security Reports. Untuk informasi lebih lanjut, lihat bagian "Modul aturan perlindungan dasar" dalam topik Laporan Keamanan. | 113406 |
waf_rule_type | Jenis aturan perlindungan dasar yang cocok. Nilai valid:
| xss |
waf_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan perlindungan dasar. Nilai valid:
| false |
major_protection_action | Tindakan yang dilakukan pada permintaan berdasarkan template perlindungan acara besar. Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
major_protection_rule_id | ID aturan perlindungan acara besar yang cocok. | 2221 |
major_protection_rule_type | Jenis aturan perlindungan acara besar yang cocok. Nilai valid:
| waf_blocks |
major_protection_test | Mode perlindungan yang digunakan berdasarkan aturan perlindungan acara besar. Nilai valid:
| true |
response_set_cookie | Cookie yang dikirim dari server ke klien. Penting Bidang ini tidak didukung untuk instans ALB, instans MSE, dan nama domain kustom yang terikat pada aplikasi web di Function Compute. | acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800 |
response_header | Semua header respons. Penting Bidang ini tidak didukung untuk instans ALB, instans MSE, dan nama domain kustom yang terikat pada aplikasi web di Function Compute. | {"transfer-encoding":"chunked","set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"} |
response_info | Body respons. Nilainya bisa mencapai 16 KB. Jika header content-encoding adalah gzip, body respons dienkripsi dalam Base64. Penting Bidang ini tidak didukung untuk instans ALB, instans MSE, dan nama domain kustom yang terikat pada aplikasi web di Function Compute. | $_POST Received:<br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA] Received:<br/> <hr/> php://input Received: *** |
dlp_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan pencegahan kebocoran data. Nilai valid:
Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | block |
dlp_rule_id | ID aturan pencegahan kebocoran data yang cocok. | 20031483 |
dlp_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan pencegahan kebocoran data. Nilai valid:
| true |
scene_action | Tindakan yang dilakukan pada permintaan berdasarkan aturan manajemen bot. Nilai valid:
Untuk informasi lebih lanjut tentang tindakan perlindungan WAF, lihat Deskripsi bidang *_action. | js |
scene_id | ID skenario aturan manajemen bot yang cocok. | a82d992b_bc8c_47f0_87ce_****** |
scene_rule_id | ID aturan manajemen bot yang cocok. | js-a82d992b_bc8c_47f0_87ce_****** |
scene_rule_type | Jenis aturan manajemen bot yang cocok. Nilai valid:
| bot_aialgo |
scene_test | Mode perlindungan yang digunakan untuk permintaan berdasarkan aturan manajemen bot. Nilai valid:
| true |
waf_hit | Konten yang cocok dengan aturan perlindungan dasar. | {"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}} |
compliance_hit | Konten yang cocok dengan serangan pelanggaran kepatuhan protokol. | **********7df271da040a |
sema_hit | Konten yang cocok dengan serangan analisis semantik. | {"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}} |
Deskripsi Bidang *_action
*_action menunjukkan tindakan perlindungan dari aturan perlindungan yang berbeda. Sebagai contoh, final_action menunjukkan tindakan perlindungan yang dilakukan oleh WAF, sedangkan waf_action menunjukkan tindakan perlindungan dari aturan perlindungan dasar. Tindakan perlindungan bervariasi berdasarkan aturan perlindungan. Untuk informasi lebih lanjut tentang tindakan perlindungan, lihat deskripsi parameter.
Tabel berikut menjelaskan tindakan perlindungan yang didukung oleh WAF.
Tindakan Perlindungan | Deskripsi |
block | Permintaan diblokir. WAF memblokir permintaan klien dan mengembalikan kode kesalahan HTTP 405 ke klien. |
captcha_strict | Verifikasi CAPTCHA slider ketat dilakukan. WAF mengembalikan halaman yang digunakan untuk verifikasi CAPTCHA slider ke klien. Jika klien lulus verifikasi CAPTCHA slider ketat, WAF mengizinkan permintaan dari klien. Jika tidak, WAF memblokir permintaan. Klien harus lulus verifikasi CAPTCHA slider ketat setiap kali klien mengirim permintaan. |
captcha | Verifikasi CAPTCHA slider umum dilakukan. WAF mengembalikan halaman yang digunakan untuk verifikasi CAPTCHA slider ke klien. Jika klien lulus verifikasi CAPTCHA slider umum, WAF mengizinkan permintaan dari klien dalam rentang waktu tertentu. Secara default, rentang waktu diatur selama 30 menit. Jika tidak, WAF memblokir permintaan dari klien. |
js | Validasi JavaScript dilakukan. WAF mengembalikan kode JavaScript ke klien. Kode JavaScript secara otomatis dijalankan oleh browser yang digunakan oleh klien. Jika klien lulus validasi JavaScript, WAF mengizinkan permintaan dari klien dalam rentang waktu tertentu. Secara default, rentang waktu diatur selama 30 menit. Jika tidak, WAF memblokir permintaan dari klien. |
pass dan bypass | Permintaan diizinkan. WAF mengizinkan permintaan yang dikirim oleh klien dan meneruskan permintaan ke server asal. |
js_pass | Klien lulus validasi JavaScript dan WAF mengizinkan permintaan dari klien. |
sigchl | Otentikasi token dinamis dilakukan dan permintaan web ditandatangani. Ketika klien mengirim permintaan, Web SDK yang dikeluarkan oleh WAF menghasilkan tanda tangan untuk permintaan tersebut. Tanda tangan tersebut diteruskan bersama dengan permintaan ke server asal. Jika tanda tangan berhasil dibuat dan diverifikasi, permintaan diteruskan ke server asal. Jika tanda tangan gagal dibuat atau diverifikasi, blok kode yang dapat digunakan untuk mendapatkan token dinamis dikembalikan ke klien dan permintaan harus ditandatangani ulang. |
monitor | Permintaan dipantau. WAF mencatat permintaan yang cocok dengan aturan dalam log tetapi tidak memblokir permintaan tersebut. |