このページでは、WAF の Log Service によって収集されたログの照会と分析に使用される、一般的なメトリックについて説明します。 これらのメトリックを使用してアラートを設定し、必要に応じてワークロードの例外を監視できます。 また、メトリックの推奨アラートしきい値、およびメトリック例外の処理に関する提案も提供します。

メトリック 説明 推奨しきい値 提案
200 サーバーはリクエストを処理し、リクエストされたデータを返しました。 ワークロードを初期化する前に、ステータスコード 200 のアラートしきい値を 90% に設定してください。 必要に応じてしきい値を調整できます。 コード 200 の割合が、指定されたしきい値より低い場合は、理由を特定してください。 たとえば、別のステータスコードの割合が増加したため、このメトリックが減少した可能性があります。
request_time_msec クライアントがリクエストを送信してからクライアントが応答を受信するまでの時間。 実際のサービスリクエストに必要な時間に基づいてアラートしきい値を設定してください。 ドメイン名からの応答の受信に時間がかかる場合は、クライアントと WAF 間のネットワーク接続、および WAF とオリジンサーバー間のネットワーク接続を確認し、オリジンサーバーが正しく応答することを確認してください。
upstream_response_time WAF がデータをオリジンサーバーに送信してから、WAF がオリジンサーバーから応答を受信するまでの時間。
ssl_handshake_time HTTPS リクエスト中のクライアントと WAF 間の SSL ハンドシェイクに必要な時間。
status:302 and block_action:tmd/status:200 and block_action:tmd ステータスコードは、CAPTCHA がトリガーされているかどうかを示します。 コード 302 は CAPTCHA がトリガーされることを示し、コード 200 は CAPTCHA がトリガーされないことを示します。ユーザーは HTTP フラッド保護をカスタマイズする必要があります。 ワークロードを初期化するときは、ステータスコードのアラートしきい値を 5% から 10% の値に設定することを推奨します。 WAF によってブロックされたトラフィックに基づいてしきい値を調整できます。
  • アラートのしきい値に達した場合は、ドメインが HTTP フラッド攻撃を受けているかどうかを確認し、ルールをカスタマイズして攻撃をブロックしてください。
  • 5xx ステータスコードや 4xx ステータスコードが多数あるなどのサーバーの例外を確認してください。
200 and block_action:antifraud リクエストは、データリスク管理によってブロックされます。 適用する前にアラートルールをテストしてください。 このアラートを頻繁に受信する場合は、アラートのしきい値を調整するためにご連絡ください。
status:404 サーバーは、要求されたリソースを見つけられませんでした。 アラートをトリガーするソース IP アドレスを照会します。
  • 1 つの IP アドレスのみがアラートをトリガーする場合、悪意のあるユーザーがサーバー上でパストラバーサルを開始した可能性があります。
  • 複数の IP アドレスがアラートをトリガーする場合は、サーバーが正常に動作しているかどうか、およびファイルが不足していないかどうかを確認してください。
status:405 リクエストは、Web アプリケーション保護ルール、または HTTP ACL ポリシールールのいずれかによってブロックされます。 ログ検索機能を使用して、ブロックされたリクエストとリクエストのブロックに使用されたルールを分析し、これが誤検知であるかどうかを確認してください。
status:444 リクエストは、カスタム HTTP フラッド保護ルールによってブロックされます。
  • アラートのしきい値に達した場合は、ドメインが HTTP フラッド攻撃を受けているかどうかを確認し、ルールをカスタマイズして攻撃をブロックしてください。
  • ブロックされたリクエストが攻撃ではなく API 呼び出しである場合は、しきい値を調整するか、指定されたサーバーでの API 呼び出しを許可できます。
status:499 クライアントがリクエストを送信した後、サーバーはデータを返しません。 クライアントの最大待機時間に達すると、クライアントは切断され、サーバーはこのステータスコードを返します。
  • オリジンサーバーでの例外を確認してください。たとえば、応答が遅いことや、データベースに対する照会が遅いなどです。
  • 攻撃がオリジンサーバーのすべてのリソースを消費したかどうかを確認してください。
status:500 500 Internal Server Error のため、リクエストを処理できません。 オリジンサーバーの負荷とデータベースステータスを確認することを推奨します。
status:502 サーバーはゲートウェイまたはプロキシとして使用され、502 Bad Gateway エラーが原因でアップストリームサーバーから無効な応答を受信します。 back-to-origin ネットワークのパフォーマンスが低いか、back-to-origin リクエストがオリジンサーバーに設定されたアクセス制御ポリシーによってブロックされているため、オリジンサーバーが応答しません。
  • back-to-origin ネットワークの品質、オリジンサーバーのアクセス制御ポリシー、およびオリジンサーバーの負荷とデータベースのステータスを確認してください。
  • オリジンサーバーが WAF の back-to-origin IP アドレスをブロックしているかどうかを確認してください。
status:503 過負荷またはメンテナンスが必要なため、サービスは利用できません。 オリジンサーバーで例外を確認してください。
status:504 サーバーはゲートウェイまたはプロキシとして機能し、アップストリームサーバーからのリクエストを時間内に受信できません。 504 Gateway Timeout エラーが発生しました。 考えられる原因は次のとおりです。
  • 過負荷のため、サーバーが応答しません。
  • オリジンサーバーがリクエストを破棄した後、リセットしません。
  • プロトコルベースの通信が失敗します。