すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:ログフィールド

最終更新日:Jun 08, 2026

本トピックでは、 Web Application Firewall (WAF) のログに含まれる独自のフィールドについて説明します。

フィールドリファレンス

この表では、WAF ログに含まれる独自フィールドについて説明します。フィールド名で検索できます。

頭文字

フィールド

a

b

  • レスポンスボディのサイズ (バイト単位): body_bytes_sent

    重要

    body_bytes_sent フィールドは、保護対象が Function Compute (FC) サービスの場合はサポートされません。

  • リクエストを許可した、一致した各ルールの ID: bypass_matched_ids

c

d

  • データ漏えい防止: dlp_action | dlp_rule_id | dlp_test

  • リクエストの宛先ポート: dst_port

    重要

    dst_port フィールドは、保護対象が Microservices Engine (MSE)、Application Load Balancer (ALB)、または Function Compute (FC) サービスの場合はサポートされません。

f

リクエストに対する最終保護アクション: final_action | final_plugin | final_rule_id | final_rule_type

h

j

m

n

一致した非終端ルール: non_terminating_rules

p

ビットマップ形式の PROXY プロトコル使用ステータス: pp_state

q

リクエストのクエリ文字列: querystring

r

s

t

u

w

必須フィールド

必須フィールドは、Web Application Firewall (WAF) ログに常に含まれます。

パラメーター

説明

bypass_matched_ids

リクエストを許可する WAF ルールの ID です。これには、ホワイトリストルールと、アクションが「Allow」 のカスタム保護ルールが含まれます。

リクエストが複数の許可ルールに一致した場合、このフィールドには、それらすべての ID がカンマ (,) 区切りで記録されます。

283531

content_type

リクエストのコンテンツタイプです。

application/x-www-form-urlencoded

dst_port

リクエストの宛先ポートです。

443

final_action

WAF がリクエストに対して実行する最終アクションです。有効な値:

  • block:リクエストをブロックします。

  • captcha_strict:厳格なスライダー CAPTCHA を実行します。

  • captcha:標準のスライダー CAPTCHA を実行します。

  • sigchl:動的トークンチャレンジを実行します。

  • js:JavaScript チャレンジを実行します。

    重要

    チャレンジアクション (JavaScript、トークン、またはスライダー CAPTCHA) がトリガーされた場合、WAF は HTTP 200 ステータスコードを返します。

WAF の保護アクションの詳細については、「Description of _action fields」をご参照ください。

リクエストが許可ルールに一致した場合や、クライアントがチャレンジに合格した後に許可された場合など、いずれの保護モジュールもトリガーしない場合、このフィールドは省略されます。

リクエストが複数の保護モジュールをトリガーした場合、このフィールドには最も優先度の高いアクションのみが記録されます。アクションの優先順位は、降順で次のとおりです:ブロック > captcha_strict > captcha > js

block

final_plugin

final_action に対応する保護モジュールです。有効な値:

  • waf:コア Web 保護ルールモジュール。

  • acl:アクセス制御モジュール。IP ブラックリスト、カスタム保護ルール、脅威インテリジェンス、および地域ブロックが含まれます。

  • cc:HTTP フラッド攻撃対策モジュール。HTTP フラッド攻撃対策のルールと、カスタム保護ルール (レート制限用) が含まれます。

  • antiscan:スキャン保護モジュール。

  • dlp:データ漏えい防止モジュール。

  • scene:シナリオ固有の設定モジュール。アプリ保護が含まれます。

  • sema:セマンティック保護モジュール。

  • gdrl:バーストトラフィックのレート制限モジュール。

  • major_protection:大規模イベント保護モジュール。

  • compliance:プロトコルコンプライアンスモジュール。

リクエストが許可ルールに一致した場合や、クライアントがチャレンジに合格した後に許可された場合など、いずれの保護モジュールもトリガーしない場合、このフィールドは記録されません。

リクエストが複数の保護モジュールをトリガーした場合、このフィールドには final_action に対応するモジュールのみが記録されます。

waf

final_rule_id

final_action に対応する保護ルールの ID です。

115341

final_rule_type

final_rule_id で識別されるルールのサブタイプです。

たとえば、final_plugin:waf のルールは、final_rule_type:sqlifinal_rule_type:xss など、より具体的なサブタイプを持つ場合があります。

xss/webShell

host

リクエストの Host ヘッダーの値です。この値はリクエストされたドメイン名を示しますが、サービスの設定によっては IP アドレスとなる場合もあります。

api.example.com

http_referer

クライアントリクエストの Referer ヘッダーの値で、リクエストの送信元 URL を示します。

リクエストに送信元 URL がない場合、このフィールドにはハイフン (-) が表示されます。

http://example.com

http_user_agent

クライアントリクエストの User-Agent ヘッダーの値です。クライアントのブラウザー、オペレーティングシステムなどを識別する情報が含まれます。

Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002)

http_x_forwarded_for

X-Forwarded-For (XFF) ヘッダーの値です。このヘッダーは、HTTP プロキシまたはロードバランサー経由で Web サーバーに接続するクライアントの元の IP アドレスを識別するために使用されます。

47.100.XX.XX

https

リクエストが HTTPS リクエストかどうかを示します。

  • 値が on の場合、HTTPS リクエストです。

  • フィールドが空の場合、HTTP リクエストです。

on

matched_host

クライアントリクエストが一致した保護対象です。クラウドサービスのインスタンスやドメイン名などが該当します。

説明

WAF は保護対象としてワイルドカードドメイン名をサポートしているため、クライアントリクエストがワイルドカードドメイン名に一致する場合があります。たとえば、*.aliyundoc.com を保護ドメイン名として WAF に追加した場合、www.aliyundoc.com へのリクエストは *.aliyundoc.com に一致する可能性があります。

*.aliyundoc.com

request_uri

リクエストパスとパラメーターです。

/news/search.php?id=1

real_client_ip

WAF がリクエストを分析して判定した、クライアントのリアル IP アドレスです。この IP アドレスは、サービス内で直接使用できます。

クライアントがプロキシサーバーを使用している場合や、リクエストヘッダー内の IP 関連フィールドが正しくない場合など、WAF がクライアントのリアル IP アドレスを判定できない場合、このフィールドにはハイフン (-) が表示されます。

192.0.XX.XX

region

WAF インスタンスのリージョン ID です。有効な値:

  • cn:中国本土。

  • int:中国本土以外。

cn

src_port

WAF に直接接続するクライアントまたはプロキシのポートです。

クライアントが WAF に直接接続する場合、このフィールドはクライアントポートを示します。CDN などの別のレイヤー 7 プロキシが WAF の前段に配置されている場合、このフィールドはプロキシのポートを示します。

80

src_ip

WAF に直接接続するクライアントまたはプロキシの IP アドレスです。

クライアントが WAF に直接接続する場合、このフィールドはクライアント IP アドレスを示します。CDN などの別のレイヤー 7 プロキシが WAF の前段に配置されている場合、このフィールドはプロキシの IP アドレスを示します。

198.51.XX.XX

start_time

クライアントがリクエストを開始した時刻を示す UNIX タイムスタンプ (秒単位) です。

1696534058

request_length

リクエストのサイズ (バイト単位) です。リクエスト行、ヘッダー、およびリクエストボディが含まれます。

111111

request_method

リクエストメソッドです。

GET

request_time_msec

WAF がリクエストの処理に要した時間 (ミリ秒単位) です。

44

request_traceid

WAF がリクエストに対して生成する一意の ID です。

7837b11715410386943437009ea1f0

request_traceid_origin

リクエストの元の ID です。

7ce319151*****18890e

remote_region_id

IP アドレスが属する地理的リージョンの ID です。

410000

server_protocol

クライアントと WAF 間で使用されるプロトコルです。

重要

このフィールドは、保護対象が Function Compute (FC) サービスの場合はサポートされません。

HTTP/1.1

ssl_cipher

クライアントリクエストで使用される暗号スイートです。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

クライアントリクエストで使用される SSL/TLS プロトコルとバージョンです。

TLSv1.2

status

WAF がクライアントに返す HTTP ステータスコードです。たとえば、200 はリクエストが成功したことを示します。

200

time

クライアントがリクエストを開始した時刻です。時刻はタイムゾーンオフセットを含み、ISO 8601 標準に準拠した yyyy-MM-ddTHH:mm:ss+08:00 形式で表記されます。

2018-05-02T16:03:59+08:00

upstream_addr

オリジンサーバーの IP アドレスとポートです。形式は IP:Port です。複数のレコードはカンマ (,) で区切られます。

重要

このフィールドは、保護対象が Function Compute (FC) サービスの場合はサポートされません。

198.51.XX.XX:443

upstream_response_time

WAF からのバックツーオリジンリクエストに対して、オリジンサーバーが応答するまでに要した時間 (秒単位) です。

0.044

upstream_status

WAF からのバックツーオリジンリクエストに対してオリジンサーバーが返す HTTP ステータスコードです。たとえば、200 はリクエストが成功したことを示します。

200

user_id

WAF インスタンスが属する Alibaba Cloud アカウント ID です。

17045741********

オプションフィールド

オプションフィールドを有効にすると、Web アプリケーションファイアウォール (WAF) のログに含めることができます。WAF は、有効にしたオプションフィールドのみを記録します。

オプションフィールドを有効にすると、ログストレージの使用量が増加します。ストレージに十分な空き容量がある場合は、より詳細なログ分析のために追加のオプションフィールドを有効にすることを推奨します。

パラメーター

説明

account

抽出されたアカウント情報。このフィールドを使用するには、まず保護対象と保護対象グループを設定する 必要があります。

user1

acl_action

リクエストが IP アドレスブラックリストまたはアクセス制御ルールに一致した場合に実行される保護アクション。有効な値:

  • block:リクエストをブロックします。

  • captcha_strict:厳格なスライダー CAPTCHA チャレンジを発行します。

  • captcha:スライダー CAPTCHA チャレンジを発行します。

  • js:JavaScript 検証チャレンジを発行します。

  • captcha_strict_pass:リクエストは厳格なスライダー CAPTCHA に合格しました。

  • captcha_pass:リクエストはスライダー CAPTCHA に合格しました。

  • js_pass:リクエストは JavaScript 検証に合格しました。

    重要

    リクエストが JavaScript 検証、トークン、またはスライダー CAPTCHA チャレンジをトリガーした場合、WAF は HTTP ステータスコード 200 を返します。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

acl_rule_id

一致したルールの ID。ルールは、IP アドレスブラックリスト、アクセス制御、リージョンブラックリスト、脅威インテリジェンス、基本ボット保護、またはボット管理のアプリ保護ルールです。

151235

acl_rule_type

一致した IP アドレスブラックリストまたはアクセス制御ルールのタイプ。有効な値:

  • custom:アクセス制御ルール。

  • blacklist:IP アドレスブラックリストルール。

  • scene/basic:基本ボット保護ルール。

  • region_block:リージョンブラックリストルール。

  • scene/appsdk_custom:ボット管理のアプリ保護ルール。

  • threat_intelligence:脅威インテリジェンスルール。

custom

acl_test

一致した IP アドレスブラックリストまたはアクセス制御ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

説明

acl_testtrue に設定されている場合、acl_action フィールドのデフォルト値は block です。これは、リクエストが ACL ルールに一致したものの、実行される実際のアクションはリクエストのブロックではなくモニタリングであることを示します。

false

antiscan_action

スキャン保護ルールによって実行されるアクション。有効な値は block のみです。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

antiscan_rule_id

一致したスキャン保護ルールの ID。

151235

antiscan_rule_type

一致したスキャン保護ルールのタイプ。有効な値:

  • highfreq:高頻度スキャンブロックルール。

  • dirscan:ディレクトリトラバーサルブロックルール。

  • scantools:スキャンツールブロックルール。

highfreq

antiscan_test

一致したスキャン保護ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

false

body_bytes_sent

レスポンスボディのサイズ (バイト単位)。このサイズにはレスポンスヘッダーは含まれません。

重要

保護対象が Function Compute (FC) サービスの場合、このフィールドはサポートされません。

1111

cc_action

またはスロットリングルールによって実行されるアクション。有効な値:

  • block:リクエストをブロックします。

  • captcha:スライダー CAPTCHA チャレンジを発行します。

  • js:JavaScript 検証チャレンジを発行します。

  • captcha_pass:リクエストはスライダー CAPTCHA に合格しました。

  • js_pass:リクエストは JavaScript 検証に合格しました。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

cc_rule_id

一致した またはスロットリングルールの ID。

151234

cc_rule_type

一致した またはスロットリングルールのタイプ。有効な値:

  • custom:スロットリングルール。

  • system:HTTP フラッド攻撃対策ルール。

custom

cc_test

一致した またはスロットリングルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

false

request_body

リクエストボディ。リクエストボディを最大 8 KB まで記録します。

test123curl -ki https://automated-acltest02.**.top/ --resolve automated-acltest02.**.top:443:39.107.XX.XX

request_headers_all

リクエスト内のすべてのヘッダー。

{

"Accept": "/",

"Accept-Encoding": "gz**, de**te, **r",

"Accept-Language": "zh-Hans-CN;q=1",

"Connection": "keep-**ve",

"Content-Length": "1**6",

"Content-Type": "application/json",

"Cookie": "cookie_key=**; acw_tc=0abc**opqrstuvwxyz0**7890;",

"Host": "1.**.**.1",

...

}

request_header

カスタムリクエストヘッダー。このフィールドを選択した後、記録するリクエストヘッダーの名前を指定する必要があります。最大 5 つのカスタムリクエストヘッダーを追加できます。複数のヘッダー名はカンマ (,) で区切ります。

重要

保護対象が Microservices Engine (MSE) または Function Compute (FC) サービスの場合、このフィールドはサポートされません。

{"ttt":"abcd"}

server_port

リクエストを受信する WAF ポート。

重要

保護対象が Microservices Engine (MSE)、Application Load Balancer (ALB)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。

443

waf_action

コア保護ルールによって実行されるアクション。有効な値は block のみです。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

waf_rule_id

一致したコア保護ルールの ID。

説明

この ID は、セキュリティレポート ページの Web コア保護ルール タブで確認できます。詳細については、「セキュリティレポート」をご参照ください。

113406

waf_rule_type

一致したコア保護ルールのタイプ。有効な値:

  • sqli:SQL インジェクション

  • xss:クロスサイトスクリプティング

  • code_exec:コード実行

  • crlf:CRLF インジェクション

  • lfilei:ローカルファイルインクルード (LFI)

  • rfilei:リモートファイルインクルード (RFI)

  • webshell:ウェブシェル

  • CSRF: クロスサイトリクエストフォージェリ

  • other:その他の保護ルール

  • cmdi:OS コマンドインジェクション

  • expression_injection:Expression Language インジェクション

  • java_deserialization:Java デシリアライゼーション

  • php_deserialization:PHP デシリアライゼーション

  • ssrf:サーバーサイドリクエストフォージェリ

  • path_traversal:パストラバーサル

  • protocol_violation:プロトコル違反

  • arbitrary_file_uploading:任意のファイルアップロード

  • dot_net_deserialization:.NET デシリアライゼーション

  • scanner_behavior:スキャナーの動作

  • logic_flaw:ビジネスロジックの欠陥

  • arbitrary_file_reading:任意のファイル読み取り

  • arbitrary_file_download:任意のファイルダウンロード

  • xxe:外部エンティティインジェクション (XXE)

xss

waf_test

一致したコア保護ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

false

major_protection_action

重要イベント保護ルールによって実行されるアクション。WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

major_protection_rule_id

重要イベント保護テンプレートで一致したルールの ID。

2221

major_protection_rule_type

重要イベント保護テンプレートで一致したルールのタイプ。有効な値:

  • waf_blocks:重要イベント保護用のルールグループ。

  • threat_intelligence:重要イベント保護用の脅威インテリジェンスルール。

  • blacklist:重要イベント保護用の IP アドレスブラックリストルール。

  • shiro:Shiro デシリアライゼーション脆弱性保護用のルール。

waf_blocks

major_protection_test

一致した重要イベント保護ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

true

response_set_cookie

レスポンス内の Set-Cookie ヘッダー。

重要

保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。

acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800

response_header

レスポンス内のすべてのヘッダー。

重要

保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。

{"transfer-encoding":"chunked","set-cookie":"acw_tc=**;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"}

response_info

レスポンスボディ。レスポンスボディを最大 16 KB まで記録します。content-encoding ヘッダーの値が gzip の場合、レスポンスボディは Base64 エンコードされます。

重要

保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。

$_POST received: <br/>Array ( [**] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA'] received: <br/> <hr/> php://input received: **

request_path

リクエストパス。URL のドメイン名の後、クエリ文字列 (?) の前の部分です。

/news/search.php

dlp_action

データ漏えい防止ルールによって実行される保護アクション。有効な値:

  • monitor:リクエストを監視します。

  • block:リクエストをブロックします。

  • filter:機密情報をマスキングします。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

dlp_rule_id

一致したデータ漏えい防止ルールの ID。

20031483

dlp_test

一致したデータ漏えい防止ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

true

querystring

リクエストのクエリ文字列。URL の疑問符 (?) に続く部分です。

title=tm_content%3Darticle&pid=123

scene_action

ボット管理のシナリオ固有のルールによって実行される保護アクション。有効な値:

  • js:JavaScript 検証チャレンジを発行します。

  • sigchl:動的トークンチャレンジを発行します。

  • block:リクエストをブロックします。

  • monitor:リクエストを監視します。

  • bypass:リクエストを許可します。

  • captcha:スライダー CAPTCHA チャレンジを発行します。

  • captcha_strict:厳格なスライダー CAPTCHA チャレンジを発行します。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

js

scene_id

一致したボット管理のシナリオ固有のルールのシナリオ ID。

a82d992b_bc8c_47f0_87ce_****

scene_rule_id

一致したボット管理のシナリオ固有のルールと基本保護設定ルールの ID。

js-a82d992b_bc8c_47f0_87ce_******

scene_rule_type

一致したボット管理のシナリオ固有のルールのタイプ。有効な値:

  • bot_aialgo:AI を活用したインテリジェントな保護ルール。

  • cc:カスタムスロットリングルール。

  • intelligence:脅威インテリジェンス。

  • js:JavaScript 検証ルール。

  • sigchl:動的トークンルール。

  • sdk:SDK 署名とデバイス収集ルールまたは二次パッケージング検出ルール。

bot_aialgo

scene_test

一致したボット管理のシナリオ固有のルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

true

remote_addr

WAF に直接接続する IP アドレス。

クライアントが WAF に直接接続する場合、このフィールドはクライアントの IP アドレスを記録します。CDN などのレイヤー 7 プロキシが WAF の前にデプロイされている場合、このフィールドはプロキシの IP アドレスを記録します。

198.51.XX.XX

remote_port

WAF に直接接続するポート。

クライアントが WAF に直接接続する場合、このフィールドはクライアントのポートを記録します。CDN などのレイヤー 7 プロキシが WAF の前にデプロイされている場合、このフィールドはプロキシのポートを記録します。

80

waf_hit

基本保護ルールに一致した攻撃ペイロード。

{"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}}

compliance_hit

プロトコル違反ルールに一致したコンテンツ。

********7df271da040a

compliance_action

プロトコル違反ルールによって実行されるアクション。有効な値は block のみです。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

compliance_rule_id

一致したプロトコル違反ルールの ID。

300033

compliance_rule_type

一致したプロトコル違反ルールのタイプ。有効な値は protocol_violation のみです。

protocol_violation

compliance_test

一致したプロトコル違反ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

false

sema_hit

意味解析ルールに一致したコンテンツ。

{"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}}

sema_action

意味解析ルールによって実行されるアクション。有効な値は block のみです。

WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。

block

sema_rule_id

一致した意味解析ルールの ID。

810015

sema_rule_type

一致した意味解析ルールのタイプ。有効な値は sqli のみで、SQL インジェクションルールを示します。

sqli

sema_test

一致した意味解析ルールの保護モード。有効な値:

  • true:モニタリングモード。WAF は一致したリクエストをログに記録しますが、保護アクションは適用しません。

  • false:防御モード。WAF は、指定された保護アクションを一致したリクエストに適用します。

false

wxbb_info_tbl

ボット管理のアプリ保護ルールに一致したリクエストのデバイス情報。

{

"abnormal_imei": "0",

"abnormal_time": "1",

***

"appversion": "9.4.3",

"brand": "Android",

***

}

websdk_umid

ボット管理によって識別された Web クライアントの一意のデバイス識別子。

6543211729a19aa0123456

appsdk_umid

ボット管理によって識別されたアプリクライアントの一意のデバイス識別子。

3c76912d48ec5eb1ea6cb775ce1ba609

client_id

ボット管理によって識別されたクライアントタイプ。

Python-urllib

ja3_fingerprint

ボット管理によって識別されたトラフィックの JA3 フィンガープリント。

5c9e5897bbebcef37337bffb97587518

ja4_fingerprint

ボット管理によって識別されたトラフィックの JA4 フィンガープリント。

b251a742b13fde5fba044eddfd05af34

http2_fingerprint

ボット管理によって識別されたトラフィックの HTTP/2 フィンガープリント。

52d84b11737d980aef856699f885ca86

non_terminating_rules

終了を伴わないアクションを持つルールに一致するリクエストに関する情報。これには、モニター または back-to-origin マーカー アクションを持つルールに一致するリクエスト、および JS 検証スライダー厳密なスライダー、または 動的トークン などのチャレンジに合格したリクエストが含まれます。これらは、action フィールドが js_passcaptcha_passcaptcha_strict_passsigchl_passmonitor、または upstream_tag であるリクエストに対応します。リクエストがこのようなルールに複数一致した場合、一致したすべてのルールが記録されます。

[{"id":"12345678","action":"monitor","defense_scene":"waf_base"},{"id":"123123123","type":"suspicious_idc","action":"monitor","defense_scene":"bot_manager"},

{"id":"12341234","bypass_punish":"1","defense_scene":"custom_acl"}]

説明

この例では、"bypass_punish":"1" はカナリアルールに一致したものの、アクションは実行されなかったことを示します。

terminating_rules

終了アクションを伴うルールに一致するリクエストに関する情報。これには、ブロック アクションに一致するリクエスト、および JS 検証スライダー厳密なスライダー、または 動的トークン などのチャレンジに失敗したリクエストが含まれます。これらは、action フィールドが blockjscaptchacaptcha_strict、または sigchl であるリクエストに相当します。

[{"id":"123456","action":"block","defense_scene":"custom_acl"}]

remote_country_id

IP アドレスに関連付けられた国 ID。

CN

pp_state

proxy_protocol はステータスビットマップを使用します。ビット単位のフラグは、リクエスト内の proxy_protocol の処理ステータスを識別します:

  • ビット 0 (値 1):クライアントが proxy_protocol v1 ヘッダーを送信しました。

  • ビット 1 (値 2):クライアントが proxy_protocol v2 ヘッダーを送信しました。

  • ビット 2 (値 4):クライアント IP アドレスが proxy_protocol ヘッダーから取得されました。

  • ビット 3 (値 8):proxy_protocol ヘッダーがオリジンサーバーに渡されました。

ビット単位の AND (&) 演算を使用して、特定のフラグが設定されているかどうかを確認できます。

6 (バイナリ 01106 & 2 == 26 & 4 == 4、Proxy Protocol v2 リクエストが受信され、そこからクライアント IP が取得されたことを示します)

_action フィールド

説明

_action フィールドは、保護アクションを示します。たとえば、final_action は Web Application Firewall (WAF) が実行する最終アクションを指定し、waf_action はコア保護ルールのアクションを指定します。サポートされるアクションは保護ルールによって異なります。詳細については、対応するパラメーターの説明をご参照ください。

次の表は、WAF がサポートする保護アクションの一覧です。

アクション

説明

block

Web リクエストをブロックし、クライアントに HTTP 405 エラーページを返します。

captcha_strict

厳格なスライダーキャプチャ認証を実行します。WAF はクライアントにスライダー CAPTCHA ページを提示します。クライアントが CAPTCHA を正常に完了した場合にのみ、WAF はリクエストを許可します。それ以外の場合、リクエストをブロックします。このモードでは、クライアントからのすべてのリクエストに対して検証が必要です。

captcha

一般的なスライダーキャプチャ認証を実行します。WAF はクライアントにスライダー CAPTCHA ページを提示します。クライアントが CAPTCHA を正常に完了した場合、WAF は一定期間 (デフォルト:30 分) 再検証なしでクライアントからの後続のリクエストを許可します。それ以外の場合、リクエストをブロックします。

js

JavaScript 検証を実行します。WAF はクライアントのブラウザに JavaScript チャレンジを発行します。ブラウザが JavaScript コードを正常に実行した場合、WAF は一定期間 (デフォルト:30 分) さらなるチャレンジなしでクライアントからの後続のリクエストを許可します。それ以外の場合、リクエストをブロックします。

js_pass

クライアントが JavaScript 検証に合格し、WAF がリクエストを許可したことを示します。

sigchl

動的トークン認証を実行します。WAF は、クライアントが送信リクエストに署名するための Web SDK を提供します。リクエストに有効な署名がある場合、WAF はそれをオリジンサーバーに転送します。署名が無効または欠落している場合、WAF はクライアントにリクエストの再署名を要求します。