WAF は、アクセスリクエストや攻撃ログなど、ドメインに関する詳細なログエントリを保持します。 各ログエントリには何十ものフィールドがあります。 特定のフィールドに基づいて照会と分析を実行します。

フィールド フィールドの説明
__topic__ ログエントリのトピック。 このフィールドの値は waf_access_log であり、変更できません。 waf_access_log
acl_action pass、drop、captcha など、リクエストに対して WAF HTTP ACL ポリシーが生成したアクション。
値が null 値または"-" の場合、アクションは pass です。
pass
acl_blocks リクエストが HTTP ACL ポリシーによってブロックされているかどうかを示します。
  • 値が 1 の場合、リクエストはブロックされています。
  • 値が 1 ではない場合、リクエストは渡されます。
1
antibot 適用するアンチボットサービス保護戦略の種類。以下が含まれます。
  • ratelimit: 周波数制御
  • sdk: アプリ保護
  • intelligence: アルゴリズムモデル
  • acl: HTTP ACL ポリシー
  • blacklist: ブラックリスト
ratelimit
antibot_action アンチボットサービス保護戦略によって実行されるアクション。以下が含まれます。
  • challenge: 埋め込み JavaScript スクリプトを使用した検証
  • drop: ブロッキング
  • report: アクセスイベントのロギング
  • captcha: スライダーキャプチャを使用した検証
challenge
block_action 有効化されている WAF 保護の種類。以下が含まれます。
  • tmd: HTTP フラッド攻撃に対する保護
  • waf: Web アプリケーション攻撃に対する保護
  • acl: HTTP ACL ポリシー
  • geo: リージョンのブロック
  • antifraud: データリスク管理
  • antibot: Web クローラーのブロック
tmd
body_bytes_sent アクセスリクエスト内の本文のサイズ。測定単位はバイトです。 2
cc_action none、challenge、pass、close、captcha、wait、login、n などの HTTP フラッド攻撃に対する保護戦略。 close
cc_blocks リクエストが CC 保護によってブロックされているかどうかを示します。
  • 値が 1 の場合、リクエストはブロックされています。
  • 値が 1 ではない場合、リクエストは渡されます。
1
cc_phase seccookie、server_ip_blacklist、static_whitelist、 server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax などの CC 保護ポリシー。 server_ip_blacklist
content_type アクセスリクエストのコンテンツタイプ。 application/x-www-form-urlencoded
host ソース Web サイト api.aliyun.com
http_cookie クライアント側の Cookie。リクエストヘッダーに含まれています。 k1=v1;k2=v2
http_referer リクエスト送信元 URL 情報。リクエストヘッダーに含まれています。 "-" は URL 情報がないことを示します。 http://xyz.com
http_user_agent リクエストヘッダー内のユーザーエージェントフィールド。クライアントブラウザーやオペレーティングシステムなどの情報が含まれます。 Dalvik/2.1.0 (Linux; U; Android 7.0; EDI-AL10 Build/HUAWEIEDISON-AL10)
http_x_forwarded_for リクエストヘッダー内の XFF (X-Forwarded-For) 情報。HTTP プロキシまたは負荷分散を使用して Web サーバーに接続するクライアントの元の IP アドレスを識別します。 -
https リクエストが HTTPS リクエストであるかどうかを示します。
  • true: リクエストは HTTPS リクエストです。
  • false: リクエストが HTTP リクエストではありません。
true
matched_host WAF が保護する一致ドメイン名 (拡張ドメイン名)。 一致するドメインがなかった場合、値は "-" です。 *.aliyun.com
querystring リクエスト内の照会文字列。 title=tm_content%3Darticle&pid=123
real_client_ip クライアントの実際 IP アドレス。 システムが実際の IP アドレスを取得できない場合、値は "-" です。 1.2.3.4
region WAF インスタンスの存在するリージョンの情報。 cn
remote_addr リクエストにアクセスするクライアントの IP アドレス。 1.2.3.4
request_length リクエストのサイズ。測定単位はバイトです。 123
request_method アクセスリクエストで使用される HTTP リクエストメソッド。 GET
request_path リクエストの相対パス。 照会文字列は含まれません。 /news/search.php
request_time_msec リクエスト時間。測定単位はマイクロ秒です。 44
request_traceid WAF が記録するアクセスリクエストの一意の ID。 7837b11715410386943437009ea1f0
server_protocol 応答プロトコルと配信元サーバーのバージョン番号。 HTTP/1.1
status WAF が返すクライアントへの HTTP 応答のステータス。 200
time アクセスリクエストが発生した時刻。 2018-05-02T16:03:59+08:00
ua_browser リクエストを送信するブラウザーの情報。 ie9
ua_browser_family リクエストを送信したブラウザーのファミリ。 internet explorer
ua_browser_type リクエストを送信したブラウザーの種類。 web_browser
ua_browser_version リクエストを送信するブラウザーのバージョン。 9.0
ua_device_type リクエストを送信するクライアントデバイスの種類。 computer
ua_os リクエストを送信するクライアントによって使用されるオペレーティングシステム。 windows_7
ua_os_family クライアントによって使用されるオペレーティングシステムのファミリ。 windows
upstream_addr コンマで区切られた配信元アドレスのリスト。 アドレスの形式は IP:Port です。 1.2.3.4:443
upstream_ip アクセスリクエストに対応する配信元 IP アドレス。 たとえば、配信元サーバーが ECS インスタンスの場合、このフィールドの値は ECS インスタンスの IP アドレスです。 1.2.3.4
upstream_response_time 配信元サイトが WAF リクエストに応答するのにかかる時間。測定単位はバイトです。"-" はリクエストのタイムアウトを示します。 0.044
upstream_status WAF が配信元サーバーから受信する応答ステータス。"-" は応答がないことを示します。 理由は、応答のタイムアウトまたはリクエストが WAF によってブロックされている可能性があります。 200
user_id Alibaba Cloud のアカウント ID。 12345678
waf_action Web 攻撃保護ポリシーからのアクション。
  • 値が block の場合、攻撃はブロックされています。
  • 値が bypass または他の値である場合、攻撃は無視されています。
block
web_attack_type xss、code_exec、webshell、sqli、lfilei、rfilei などの Web 攻撃の種類。 xss