すべてのプロダクト
Search

このプロダクト

    :ログクエリ

    ドキュメントセンター

    :ログクエリ

    最終更新日:Apr 03, 2026

    Web Application Firewall (WAF) の保護対象に対してログ収集を有効化した後、ログクエリ機能を使用してログデータを検索・分析し、チャートを生成したり、クエリ結果に基づいてアラートを作成したりできます。

    前提条件

    ログのクエリと分析

    1. Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーから、WAF インスタンスのリソースグループおよびリージョン(中国本土 または 中国本土以外)を選択します。

    2. 左側のナビゲーションウィンドウで、検出と応答 > SLS を選択します。

    3. SLS ページで、クエリ対象の保護対象を選択します。

      重要

      保護対象のログ収集は有効化されている必要があります(ステータス トグルが「ON」になっている必要があります)。無効化されている場合、WAF はログデータを収集せず、ログクエリおよび分析機能も提供しません。選択した保護対象のログ収集が無効化されている場合は、このページで該当する保護対象を検索し、その名前をクリックして ステータス トグルを有効化してください。あるいは、ログ設定 ページに移動し、「配信設定」タブをクリックして、Simple Log Service 配信ステータス を使用して、すべての保護対象のログ収集を一括管理できます。詳細については、「ログ配信ステータスの管理」をご参照ください。

      日志报表

    4. Log Query タブで、クエリおよび分析文を使用して WAF ログデータを検索・分析します。

      日志查询与分析

      以下の手順に従って操作します。

      1. ステートメント入力ボックス(①)にクエリ文を入力します。

        クエリ文には Alibaba Cloud Log Service の構文を使用します。この構文の詳細については、「クエリ構文および関数」をご参照ください。クエリフィールドとして WAF ログデータのフィールドを使用します。サポートされるクエリフィールドの一覧については、「ログフィールド」をご参照ください。

        ログクエリ構文に慣れていない場合は、Advanced Search をご利用ください。ステートメント入力ボックスの上にある Advanced Search を展開し、検索条件を設定して Search をクリックします。すると、ステートメント入力ボックスに設定した条件に一致するクエリ文が自動生成されます。高级搜索 高度な検索では、以下の検索条件がサポートされています。

        検索条件

        説明

        IP

        リクエストを送信したクライアントの IP アドレスです。

        Request ID

        WAF がクライアントリクエストに対して生成する一意の ID です。WAF はこの ID をブロックページおよび CAPTCHA チャレンジの応答に含めており、問題の分析およびトラブルシューティングに活用できます。

        Rule ID

        リクエストが一致した WAF 保護ルールの ID です。ルール ID は 保護ルール ページで確認できます。また、セキュリティレポート ページのルールヒット記録および統計情報からも取得可能です。詳細については、「セキュリティレポート」をご参照ください。

        Status Code Returned from Origin Server

        WAF のオリジンサーバーへのリクエストに対するオリジンサーバーの HTTP ステータスコードです。

        Status Code Returned from WAF

        WAF がクライアントに返す HTTP ステータスコードです。

        保護モジュール

        リクエストが一致した WAF 保護モジュールの種類です。WAF の保護モジュールの概要および各モジュールの保護ルール構成方法については、「保護構成の概要」をご参照ください。

      2. クエリ結果に対して統計分析を実行するには、文入力ボックス([①])でクエリ文の後に分析文を追加します。一致するログデータのみを取得する場合は、この手順をスキップしてください。

        分析文とクエリ文を区切るには、パイプ文字(|)を使用します。分析文では、標準 SQL-92 構文を使用します。詳細については、「ログのクエリと分析の概要」をご参照ください。

      3. 時間範囲セレクター(②)を使用して、クエリ対象のログの時間範囲を設定します。

      4. Log Query(③)をクリックします。

        クエリおよび分析の結果 — ご指定のクエリに一致した WAF ログデータ — がページ下部に表示されます。結果にはログ分布ヒストグラム、Original Request Headerチャート、および ログクラスタリング が含まれます。結果から、クイック分析の実行、チャートの生成、アラートの設定が可能です。詳細については、「クエリ/分析ページの説明」をご参照ください。

    クエリ/分析 ページの説明

    ページの概要image

    ヒストグラム

    image

    • 緑色のブロックにカーソルを合わせると、その時間範囲と該当時間範囲内のログヒット数が表示されます。

    • 緑色のブロックをダブルクリックすると、より細かい時間の粒度でログ分布を表示できます。生ログ タブにも、指定された時間範囲のクエリ結果が表示されます。

    生ログ

    • ログの詳細image

      • 表形式 または 生形式 をクリックして、ログの表示形式を切り替えます。

      • 下载日志 > ログのダウンロード:ログをローカルコンピューターにダウンロードします。詳細については、「ログのダウンロード」をご参照ください。

      • image.png>JSON 設定:JSON 表示タイプおよび展開レベルを設定します。

      • image.png>イベント設定:生ログのイベント構成を行います。

      • image.png:ログの内容をコピーします。

      • image.png:SLS Copilot。ログ内容から情報を要約し、エラーメッセージを検出します。

      • 查询日志-004:特定のログの元ファイルにおけるコンテキストを表示します。コンテキスト検索機能は、Logtail を使用して収集されたログでのみ利用可能です。詳細については、「コンテキスト検索」をご参照ください。

      • LiveTail:ログ内容をリアルタイムで監視し、重要なログ情報を抽出します。LiveTail 機能は、Logtail を使用して収集されたログでのみ利用可能です。詳細については、「LiveTail」をご参照ください。

    • 表示フィールドimage

      • 表示フィールド セクションで、フィールドの横にある image.png アイコンをクリックすると、そのフィールドが 表示フィールド から削除され、右側のログ情報から非表示になります。

      • image.png:ビューを保存します。表示フィールドを設定した後、ビューを保存できます。その後、ログ詳細の上にあるドロップダウンリストから保存済みのビューを選択できます。

      • image.png>タグ設定:フィールドをシステムタグとして設定します。

      • image.png>エイリアス:この機能を有効化すると、フィールド名がそのエイリアスに置き換えられます。エイリアスが設定されていないフィールドは、引き続き元の名前で表示されます。フィールドエイリアスの設定方法については、「インデックスの作成」をご参照ください。

    • インデックス付きフィールドimage

      • インデックス付きフィールド セクションで、フィールドの横にある image.png アイコンをクリックすると、そのフィールドが 表示フィールド に追加され、右側のログ情報に表示されます。

      • image.png基本ディストリビューション および 統計指標 を表示します。詳細については、「フィールド設定」をご参照ください。

    統計チャート

    統計チャートは、Simple Log Service がクエリおよび分析文に基づいてレンダリングします。Simple Log Service では、表形式、折れ線グラフ、縦棒グラフなど、さまざまなチャートタイプが提供されています。詳細については、「統計チャート」をご参照ください。クエリおよび分析文を実行した後、統計チャート タブで結果の可視化を確認できます。image

    このタブのその他の機能について以下に説明します。

    • ダッシュボードに追加:ダッシュボードは、Simple Log Service が提供するリアルタイムデータ分析ツールです。ダッシュボードに追加 をクリックすると、チャートをダッシュボードに保存できます。詳細については、「可視化の概要」をご参照ください。

    • スケジュール SQL として保存Simple Log Service ではスケジュール SQL 機能が提供されています。この機能により、データを定期的に分析し、集計データを保存したり、射影とフィルタリングを実行したりできます。詳細については、「スケジュール SQL」をご参照ください。

    • 対話発生:対話発生は、データ分析のための重要な機能です。この機能により、データディメンションの階層や分析の粒度を変更することで、データからより詳細な情報を得ることができます。詳細については、「ドリルダウン分析のためのダッシュボードへの対話発生の追加」をご参照ください。

    LogReduceimage

    LogReduce タブで、LogReduce の有効化 をクリックすると、ログ収集時に類似ログを自動的に集約できます。詳細については、「LogReduce」をご参照ください。

    SQL 強化image

    右上隅の SQL独享版 アイコンをクリックすると、単一クエリ向けに専用 SQL を有効化できます。データ量が大きい場合、標準 SQL クエリでは指定された時間範囲内のすべてのログを分析できないことがあります。専用 SQL を有効化すると、計算リソースが追加され、単一クエリで分析可能なデータ量が増加します。この機能をデフォルトで有効化する方法については、「高性能かつ高精度なクエリおよび分析(専用 SQL)」をご参照ください。

    アラート設定image

    右上隅の 另存为告警 アイコンをクリックし、アラートとして保存 をクリックします。詳細については、「アラート構成のクイックスタート」をご参照ください。

    保存済み検索image

    右上隅の 快速查询 アイコンをクリックし、保存済み検索として保存 をクリックします。保存済みのクエリを使用すると、クエリおよび分析操作を素早く実行できます。詳細については、「保存済み検索」をご参照ください。

    共有image

    右上隅の image.png アイコンをクリックすると、現在のページのリンクをコピーして他のユーザーと共有できます。詳細については、「コンソールページの埋め込みおよびログデータの共有」をご参照ください。