このトピックでは、Web Application Firewall (WAF) のWebサイトアクセス、攻撃、および保護ログのフィールドについて説明します。
ログフィールド | 説明 |
__topic__ | ログのトピックです。 値はwaf_access_logとして固定されています。 |
account_action | アカウントセキュリティルールがトリガーされた後にクライアント要求に対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 詳細については、「アクションフィールドの説明」をご参照ください。 |
account_rule_id | トリガーされたアカウントセキュリティルールのID。 |
account_test | アカウントセキュリティルールがトリガーされた後にクライアント要求に使用される保護モード。 有効な値:
|
acl_action | ブラックリストまたはカスタム保護ポリシー (ACL) 機能用に作成されたルールがトリガーされた後に、クライアント要求に対して実行されるアクション。 有効な値: block、captcha_strict、captcha、js、captcha_strict_pass、captcha_pass、およびjs_pass。 詳細については、「アクションフィールドの説明」をご参照ください。 |
acl_rule_id | トリガーされるルールのID。 ブラックリストまたはACL機能のルールが作成されます。 |
acl_rule_type | トリガーされるルールのタイプ。 ブラックリストまたはACL機能のルールが作成されます。 有効な値:
|
acl_test | ブラックリストまたはACL機能用に作成されたルールがトリガーされた後、クライアント要求に使用される保護モード。 有効な値:
|
algorithm_rule_id | トリガーされるルールのID。 ルールは、典型的なボット動作識別機能のために作成される。 |
antiscan_action | スキャン保護機能用に作成されたルールがトリガーされた後にクライアント要求に対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 詳細については、「アクションフィールドの説明」をご参照ください。 |
antiscan_rule_id | トリガーされるルールのID。 スキャン保護機能のルールが作成されます。 |
antiscan_rule_type | トリガーされるルールのタイプ。 スキャン保護機能のルールが作成されます。 有効な値:
|
antiscan_test | スキャン保護機能用に作成されたルールがトリガーされた後に、クライアント要求に使用される保護モード。 有効な値:
|
block_action | リクエストをブロックするためにトリガーされるWAF保護機能。 有効な値: 重要 WAFのアップグレードにより、このフィールドは無効になりました。 final_pluginフィールドはこのフィールドを置き換えます。 block_actionフィールドがサービスで使用されている場合は、できるだけ早い機会にfinal_pluginに置き換えてください。
|
body_bytes_sent | クライアント要求の本文のバイト数 |
bypass_matched_ids | クライアント要求を許可するためにトリガーされるルールのID。 ルールは、ホワイトリストルールまたはリクエストを許可するカスタム保護ルールにすることができます。 リクエストを許可するために複数のルールが同時にトリガーされた場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。 |
cc_action | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後に、クライアント要求に対して実行されるアクション。 有効な値: block、captcha、js、captcha_pass、およびjs_pass。 詳細については、「アクションフィールドの説明」をご参照ください。 |
cc_blocks | クライアント要求がHTTPフラッド保護機能によってブロックされているかどうかを示します。 有効な値:
|
cc_rule_id | トリガーされるルールのID。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。 |
cc_rule_type | トリガーされるルールのタイプ。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。 有効な値:
|
cc_test | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後、クライアント要求に使用される保護モード。 有効な値:
|
content_type | 要求されたコンテンツのタイプ。 |
deeplearning_action | Deep Learning Engine用に作成されたルールがトリガーされた後にクライアント要求に対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 詳細については、「アクションフィールドの説明」をご参照ください。 |
deeplearning_rule_id | トリガーされるルールのID。 ルールは、ディープラーニングエンジン用に作成されます。 |
deeplearning_rule_type | トリガーされるルールのタイプ。 ルールは、ディープラーニングエンジン用に作成されます。 有効な値:
|
deeplearning_test | Deep Learning Engine用に作成されたルールがトリガーされた後にクライアント要求に使用される保護モード。 有効な値:
|
dlp_rule_id | トリガーされるルールのID。 データ漏えい防止機能のルールを作成します。 |
dlp_test | データ漏洩防止機能用に作成されたルールがトリガーされた後に、クライアント要求に使用される保護モード。 有効な値:
|
final_rule_type | クライアント要求に適用されるルールのサブタイプ。 ルールはfinal_rule_idで示されます。 たとえば、 |
final_rule_id | クライアント要求に適用されるルールのID。 ルールは、finish_actionフィールドに記録されるアクションを定義します。 |
final_action | WAFがクライアント要求に対して実行するアクション。 有効な値: block、captcha_strict、captcha、およびjs。 詳細については、「アクションフィールドの説明」をご参照ください。 リクエストが保護機能をトリガーしない場合、フィールドは記録されません。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。 リクエストが複数の保護機能を同時にトリガーする場合、フィールドが記録され、フィールドには実行されたアクションのみが含まれます。 block (ブロック) 、captcha_strict (厳密なスライダーCAPTCHA検証) 、captcha (一般的なスライダーCAPTCHA検証) 、js (JavaScript検証) のアクションが優先度の高い順にリストされています。 |
final_plugin | クライアント要求に対してfinal_actionで指定されたアクションを実行する保護機能。 有効な値:
リクエストが保護機能をトリガーしない場合、フィールドは記録されません。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。 リクエストが複数の保護機能を同時にトリガーする場合、フィールドが記録され、final_actionで指定されたアクションを実行する保護機能のみがフィールドに含まれます。 |
host | リクエストヘッダーのHostフィールド。 このフィールドには、アクセスするドメイン名またはIPアドレスが含まれます。 このフィールドの値は、サービス設定によって異なります。 |
http_cookie | リクエストヘッダーのCookieフィールド。 このフィールドには、クライアントに関するcookie情報が含まれます。 |
http_referer | リクエストヘッダーのRefererフィールド。 このフィールドには、リクエストに関するソースURL情報が含まれます。 リクエストにソースURL情報が含まれていない場合、このフィールドの値はハイフン (-) です。 |
http_user_agent | リクエストヘッダーのUser-Agentフィールド。 このフィールドは、クライアントブラウザまたはオペレーティングシステムの識別子などの情報を含む。 |
http_x_forwarded_for | リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたは負荷分散デバイスを使用してwebサーバーに接続されているクライアントの実際のIPアドレスを識別するために使用されます。 |
https | リクエストが HTTPS リクエストであるかどうかを示します。 有効な値:
|
matched_host | リクエストのWAFと一致するオリジンサーバーのドメイン名。 ワイルドカードドメイン名を一致させることができる。
|
normalized_action | ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後にクライアント要求に対して実行されるアクション。 有効な値: ブロックと続行。 詳細については、「アクションフィールドの説明」をご参照ください。 |
normalized_rule_id | トリガーされるルールのID。 正のセキュリティモデル機能のルールが作成されます。 |
normalized_rule_type | トリガーされるルールのタイプ。 正のセキュリティモデル機能のルールが作成されます。 有効な値:
|
normalized_test | ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後に、クライアント要求に使用される保護モード。 有効な値:
|
querystring | クライアント要求のクエリ文字列。 クエリ文字列は、要求されたURLの疑問符 (?) に続く部分を参照します。 |
real_client_ip | リクエストを開始したクライアントの実際のIPアドレス。 WAFは、リクエストの分析に基づいて実際のIPアドレスを識別します。 WAFがクライアントの実際のIPアドレスを識別できない場合、このフィールドの値はハイフン (-) です。 たとえば、プロキシサーバーが使用されているか、リクエストヘッダーのIPフィールドが無効な場合、WAFはクライアントの実際のIPアドレスを識別できません。 |
region | WAFインスタンスが存在するリージョンのID。 有効な値:
|
remote_addr | WAFへの接続に使用されるIPアドレス。 WAFがクライアントに直接接続されている場合、このフィールドにはクライアントの実際のIPアドレスが記録されます。 Alibaba Cloud CDN (CDN) などのレイヤー7プロキシがWAFの前にデプロイされている場合、このフィールドにはプロキシのIPアドレスが記録されます。 |
remote_port | WAFへの接続に使用されるポート。 WAFがクライアントに直接接続されている場合、このフィールドはクライアントのポートを記録します。 CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドはプロキシのポートを記録します。 |
request_length | クライアント要求のバイト数。 リクエストには、リクエスト行、リクエストヘッダー、リクエスト本文が含まれます。 単位:バイト |
request_method | リクエスト方式。 |
request_path | 要求された相対パス。 相対パスは、要求されたURLのドメイン名と疑問符 (?) の間の部分を参照します。 相対パスにはクエリ文字列は含まれません。 |
request_time_msec | WAFがクライアント要求を処理するのにかかる時間。 単位:ミリ秒。 |
request_traceid | クライアント要求に対してWAFによって生成される一意の識別子。 |
scene_action | シナリオ固有の構成用に作成されたルールがトリガーされた後にクライアント要求に対して実行されるアクション。 有効な値: block、captcha、js、captcha_pass、およびjs_pass。 詳細については、「アクションフィールドの説明」をご参照ください。 |
scene_id | トリガーされたルールのシナリオID。 ルールは、シナリオ固有の構成用に作成されます。 |
scene_rule_id | トリガーされるルールのID。 ルールは、シナリオ固有の構成用に作成されます。 |
scene_rule_type | トリガーされるルールのタイプ。 ルールは、シナリオ固有の構成用に作成されます。 有効な値:
|
scene_test | シナリオ固有の構成用に作成されたルールがトリガーされた後に、クライアント要求に使用される保護モード。 有効な値:
|
server_port | 要求された宛先ポート。 |
server_protocol | WAFによって転送された要求に応答するためにオリジンサーバーによって使用されるプロトコルとバージョン。 |
ssl_cipher | クライアント要求で使用される暗号スイート。 |
ssl_protocol | クライアント要求で使用されるSSLまたはTLSプロトコルとバージョン。 |
status | WAFによってクライアントに返されるHTTPステータスコード。 |
time | クライアント要求が開始された時点。 |
ua_browser | リクエストを開始するブラウザの名前。 |
ua_browser_family | ブラウザが属するファミリ。 |
ua_browser_type | リクエストを開始するブラウザーのタイプ。 |
ua_browser_version | リクエストを開始するブラウザのバージョン。 |
ua_device_type | リクエストを開始するクライアントのデバイスタイプ。 |
ua_os | 要求を開始するクライアントのオペレーティングシステム。 |
ua_os_family | クライアントのオペレーティングシステムが属するファミリ。 |
upstream_addr | WAFによって使用されるback-to-originアドレス。 各アドレスはIP:Port形式です。 複数のアドレスはコンマ (,) で区切ります。 |
upstream_response_time | オリジンサーバーがリクエストに応答するのにかかる時間。 リクエストはWAFによって転送されます。 単位は秒です。 ハイフン (-) が返された場合、応答はタイムアウトしました。 |
upstream_status | オリジンサーバーからWAFに返されるステータスコード。 ハイフン (-) が返された場合、リクエストは応答されません。 たとえば、リクエストはWAFによってブロックされます。 |
user_id | WAFインスタンスが属するAlibaba CloudアカウントのID。 |
waf_action | 保護ルールエンジン用に作成されたルールがトリガーされた後にクライアント要求に対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 詳細については、「アクションフィールドの説明」をご参照ください。 |
waf_test | 保護ルールエンジン用に作成されたルールがトリガーされた後、クライアント要求に使用される保護モード。 有効な値:
|
waf_rule_id | トリガーされるルールのID。 保護ルールエンジン用にルールが作成されます。 |
waf_rule_type | トリガーされるルールのタイプ。 保護ルールエンジン用にルールが作成されます。 有効な値:
|