ログフィールドの説明

Cloud Firewall は、インバウンドトラフィックとアウトバウンドトラフィックのログをリアルタイムで自動的に収集して保存します。ログフィールドを指定して、必要なログコンテンツをすばやく見つけることができます。これにより、ログ分析とトラブルシューティングが簡素化されます。このトピックでは、Cloud Firewall のログフィールドについて説明し、インデックスをサポートするフィールドをリストします。

ファイアウォールログフィールド

フィールド	説明	例
__time__	ログデータが Logstore に書き込まれた時間。	1703483369
__topic__	ログの Topic。値は cloudfirewall_access_log に固定されており、Cloud Firewall のトラフィックログを示します。	cloudfirewall_access_log
acl_rule_id	トラフィックがヒットしたアクセスの制御ポリシーの ID。値が 00000000-0000-0000-0000-000000000000 の場合、アクセスの制御ポリシーはヒットしません。	073a1475-6e11-43e2-8b28-98cee9c6****
aliuid	Alibaba Cloud アカウント ID。	1233333333****
app_dpi_state	ディープパケットインスペクション (DPI) のステータス。有効な値: success: アプリケーションは正常に識別されました。 policy_discard: トラフィックはポリシーによってブロックされました。 tcp_not_establish: TCP 接続の確立に失敗しました。 analysing: アプリケーションは分析中です。 no_payload: ペイロードはまだ受信されていません。 unknown_loose: ルーズモードではアプリケーションを識別できません。 unknown_strict: 厳密モードではアプリケーションを識別できませんでした。 none: トラフィックはステートレスです。	success
app_name	トラフィックのアプリケーションタイプ。有効な値には、HTTPS、NTP、SIP、SMB、NFS、DNS、および Unknown (プロトコルが不明なタイプ) が含まれます。	HTTPS
attack_type_name	トラフィックに含まれる攻撃タイプの中国語名。	マイニング動作
attack_type_name_en	トラフィックに含まれる攻撃タイプの英語名。	Mining Behavior
country_id	国またはリージョン。値は、ISO 3166-1 規格に準拠した 2 文字のコードです。説明コード YY は、不明な国またはリージョンを示します。 direction の値が in の場合、このフィールドはトラフィックの送信元である国またはリージョンを示します。 direction の値が out の場合、このフィールドはトラフィックの宛先である国またはリージョンを示します。	CN
city_id	都市の一意の識別子。値は、郡レベル以上の中国の都市の 6 桁の行政区コードです。たとえば、北京のコードは 110000 です。	110000
cloud_instance_id	保護された資産インスタンスの ID。	ngw-bp1d5bx2orlw1p2wn****
direction	トラフィックの方向。有効な値: in: インターネットまたは他の ECS インスタンスから資産へのインバウンドトラフィック。 out: 資産からインターネットまたは他の ECS インスタンスへのアウトバウンドトラフィック。説明 VPC ファイアウォールには、インバウンドトラフィックとアウトバウンドトラフィックの概念がありません。direction フィールドのデフォルト値は out です。	in
domain	トラフィックの宛先ドメイン名。説明このフィールドは、トラフィックにドメイン名情報が含まれている場合にのみ表示されます。 app_name の値が DNS の場合、domain は DNS リクエストが開始されたドメイン名を示します。	www.aliyundoc.com
dst_ip	トラフィックの宛先 IP アドレス。	39.108.XX.XX
dst_network_instance_id	トラフィックの宛先ネットワークインスタンス。	vpc-bp18ina819injc9zs****
dst_port	トラフィックの宛先ポート。	443
dst_region	トラフィックのターゲットリージョン。	cn-beijing
end_time	セッションが終了する時間。この値は UNIX タイムスタンプです。単位: 秒。	1702367350
firewall_id	VPC ファイアウォールインスタンスの ID。	cen-m9y9u2hgc0t9im****
in_bps	インバウンドトラフィックのレート。単位: bit/s。	42
in_packet_bytes	インバウンドトラフィックのサイズ。単位: バイト。	58
in_packet_count	インバウンドトラフィックのパケット数。	1
in_pps	インバウンドパケットの平均転送レート。単位: 1 秒あたりのパケット数。説明転送レートが 1 パケット/秒未満の場合、このフィールドには 0 が表示され、小数点以下の桁は表示されません。	1
ip_protocol	IP プロトコルタイプ。有効な値: tcp udp icmp	tcp
ips_ai_rule_id	Artificial Intelligence Recommendation に基づいており、トラフィックがヒットしたアクセスの制御ポリシーの ID。値が 00000000-0000-0000-0000-000000000000 の場合、Artificial Intelligence Recommendation に基づくアクセスの制御ポリシーは一致またはヒットしません。	00000000-0000-0000-0000-000000000000
ips_rule_id	トラフィックがヒットした侵入防御ルールの ID。値が 00000000-0000-0000-0000-000000000000 の場合、侵入防御ルールは一致またはヒットしません。	00000000-0000-0000-0000-000000000000
ips_rule_name	トラフィックがヒットした侵入防御ルールの中国語名。	ホストでのマイニング動作
ips_rule_name_en	トラフィックがヒットした侵入防御ルールの英語名。	Mining behavior on the host
log_type	ログタイプ。有効な値: internet_log: インターネットファイアウォールのログ vpc_firewall_log: VPC ファイアウォールのログ nat_firewall_log: NAT ファイアウォールのログ dns_firewall_log: DNS ファイアウォールのログ ipv6_firewall_log: IPv6 資産のトラフィック保護ログ	internet_log
loose_allow_acl_id	事前一致したアクセスの制御ポリシーの ID。有効な値: 00000000-0000-0000-0000-000000000000: 未確認で許可されたトラフィックが存在しないことを示します。その他の値: 未確認で許可された状態のトラフィックが存在することを示します。値は、未確認のトラフィックを許可するポリシーの ID です。	00000000-0000-0000-0000-000000000000
new_conn	新しい接続が確立されたかどうかを示します。有効な値: 1: はい 0: いいえ	1
out_bps	アウトバウンドトラフィックのレート。単位: bit/s。	0
out_packet_bytes	アウトバウンドトラフィックのサイズ。単位: バイト。	0
out_packet_count	アウトバウンドトラフィックのパケット数。	0
out_pps	アウトバウンドパケットの平均転送レート。単位: 1 秒あたりのパケット数。説明転送レートが 1 パケット/秒未満の場合、このフィールドには 0 が表示され、小数点以下の桁は表示されません。	0
region_id	リージョン ID。リージョン ID の詳細については、「サポートされているリージョン」をご参照ください。 direction の値が in の場合、このフィールドはトラフィックの宛先であるリージョンの ID を示します。 direction の値が out の場合、このフィールドはトラフィックの送信元であるリージョンの ID を示します。	cn-beijing
rule_result	アクセスの制御ポリシーにヒットしたトラフィックに対して実行される操作。有効な値: pass: 許可 alert: モニター drop: 拒否侵入防止イベントをトリガーしたトラフィックに対して実行される操作。有効な値: alert: アラート drop: ブロック	alert
rule_source	トラフィックがヒットしたポリシーのソース。有効な値: basic_acl: アクセスの制御 dns_acl_rule: DNS ファイアウォールのアクセスの制御ポリシー intelligence: 脅威インテリジェンス ips_basic_rule: 基本的な保護 virtual_patch: 仮想パッチ unknown: 不明	basic_acl
src_ip	トラフィックのソース IP アドレス。	167.94.XX.XX
src_network_instance_id	トラフィックのソースネットワークインスタンス。	vpc-bp18ina819injc9zs****
src_port	トラフィックのソースポート。これは、トラフィックが送信されるホスト上のポートです。	47915
src_region	トラフィックのソースリージョン。	cn-beijing
src_vpc_id	ソース VPC の ID。	vpc-bp18ina819injc9zs****
start_time	セッションが開始される時間。この値は UNIX タイムスタンプです。単位: 秒。	1701759171
start_time_min	セッションの開始時間 (分単位)。この値は UNIX タイムスタンプです。単位: 秒。	1701759120
tcp_seq	TCP シーケンス番号。	388367****
total_bps	インバウンドトラフィックとアウトバウンドトラフィックの合計転送レート。単位: bit/s。	42
total_packet_bytes	インバウンドトラフィックとアウトバウンドトラフィックの合計サイズ。単位: バイト。	58
total_packet_count	インバウンドトラフィックとアウトバウンドトラフィックの合計パケット数。	1
total_pps	インバウンドパケットとアウトバウンドパケットの平均転送レート。単位: 1 秒あたりのパケット数。説明転送レートが 1 パケット/秒未満の場合、このフィールドには 0 が表示され、小数点以下の桁は表示されません。	0
url	サーバーがアクセスするインターネット上の Web サイトの URL。説明このフィールドは、app_name の値が HTTP の場合にのみ表示されます。	http://aliyundoc.com/index.html
vul_level	悪意のあるトラフィックによってヒットした脆弱性のリスクレベル。有効な値: 0: 脆弱性攻撃トラフィックは検出されませんでした。 1: 低リスクの脆弱性攻撃トラフィック。 2: 中リスクの脆弱性攻撃トラフィック。 3: 高リスクの脆弱性攻撃トラフィック。	1

リファレンス

Cloud Firewall のログ分析機能を有効にできます。詳細については、「ログ分析機能を有効にする」をご参照ください。
収集されたログをリアルタイムでクエリおよび分析して、トラフィックの例外を監視し、資産を保護できます。詳細については、「ログのクエリと分析」をご参照ください。
ログのクエリおよび分析結果をコンピューターにエクスポートしたり、Object Storage Service (OSS) に配信したりできます。詳細については、「ログのエクスポート」をご参照ください。

ファイアウォールログフィールド

インターネットファイアウォール

NAT ファイアウォール

VPC ファイアウォール

インデックスをサポートするフィールド

ログフィールドの説明

リファレンス