本トピックでは、 Web Application Firewall (WAF) のログに含まれる独自のフィールドについて説明します。
フィールドリファレンス
この表では、WAF ログに含まれる独自フィールドについて説明します。フィールド名で検索できます。
頭文字 | フィールド |
a |
|
b |
|
c |
|
d |
|
f | リクエストに対する最終保護アクション: final_action | final_plugin | final_rule_id | final_rule_type |
h |
|
j |
|
m |
|
n | 一致した非終端ルール: non_terminating_rules |
p | ビットマップ形式の PROXY プロトコル使用ステータス: pp_state |
q | リクエストのクエリ文字列: querystring |
r |
|
s |
|
t |
|
u |
|
w |
|
必須フィールド
必須フィールドは、Web Application Firewall (WAF) ログに常に含まれます。
パラメーター | 説明 | 例 |
bypass_matched_ids | リクエストを許可する WAF ルールの ID です。これには、ホワイトリストルールと、アクションが「Allow」 のカスタム保護ルールが含まれます。 リクエストが複数の許可ルールに一致した場合、このフィールドには、それらすべての ID がカンマ (,) 区切りで記録されます。 | 283531 |
content_type | リクエストのコンテンツタイプです。 | application/x-www-form-urlencoded |
dst_port | リクエストの宛先ポートです。 | 443 |
final_action | WAF がリクエストに対して実行する最終アクションです。有効な値:
WAF の保護アクションの詳細については、「Description of _action fields」をご参照ください。 リクエストが許可ルールに一致した場合や、クライアントがチャレンジに合格した後に許可された場合など、いずれの保護モジュールもトリガーしない場合、このフィールドは省略されます。 リクエストが複数の保護モジュールをトリガーした場合、このフィールドには最も優先度の高いアクションのみが記録されます。アクションの優先順位は、降順で次のとおりです:ブロック > captcha_strict > captcha > js。 | block |
final_plugin |
リクエストが許可ルールに一致した場合や、クライアントがチャレンジに合格した後に許可された場合など、いずれの保護モジュールもトリガーしない場合、このフィールドは記録されません。 リクエストが複数の保護モジュールをトリガーした場合、このフィールドには final_action に対応するモジュールのみが記録されます。 | waf |
final_rule_id | final_action に対応する保護ルールの ID です。 | 115341 |
final_rule_type | final_rule_id で識別されるルールのサブタイプです。 たとえば、 | xss/webShell |
host | リクエストの | api.example.com |
http_cookie | リクエストの | k1=v1;k2=v2 |
http_referer | クライアントリクエストの リクエストに送信元 URL がない場合、このフィールドにはハイフン ( | http://example.com |
http_user_agent | クライアントリクエストの | Dalvik/2.1.0 (Linux; U; Android 10; Android SDK built for x86 Build/QSR1.200715.002) |
http_x_forwarded_for |
| 47.100.XX.XX |
https | リクエストが HTTPS リクエストかどうかを示します。
| on |
matched_host | クライアントリクエストが一致した保護対象です。クラウドサービスのインスタンスやドメイン名などが該当します。 説明 WAF は保護対象としてワイルドカードドメイン名をサポートしているため、クライアントリクエストがワイルドカードドメイン名に一致する場合があります。たとえば、 | *.aliyundoc.com |
request_uri | リクエストパスとパラメーターです。 | /news/search.php?id=1 |
real_client_ip | WAF がリクエストを分析して判定した、クライアントのリアル IP アドレスです。この IP アドレスは、サービス内で直接使用できます。 クライアントがプロキシサーバーを使用している場合や、リクエストヘッダー内の IP 関連フィールドが正しくない場合など、WAF がクライアントのリアル IP アドレスを判定できない場合、このフィールドにはハイフン ( | 192.0.XX.XX |
region | WAF インスタンスのリージョン ID です。有効な値:
| cn |
src_port | WAF に直接接続するクライアントまたはプロキシのポートです。 クライアントが WAF に直接接続する場合、このフィールドはクライアントポートを示します。CDN などの別のレイヤー 7 プロキシが WAF の前段に配置されている場合、このフィールドはプロキシのポートを示します。 | 80 |
src_ip | WAF に直接接続するクライアントまたはプロキシの IP アドレスです。 クライアントが WAF に直接接続する場合、このフィールドはクライアント IP アドレスを示します。CDN などの別のレイヤー 7 プロキシが WAF の前段に配置されている場合、このフィールドはプロキシの IP アドレスを示します。 | 198.51.XX.XX |
start_time | クライアントがリクエストを開始した時刻を示す UNIX タイムスタンプ (秒単位) です。 | 1696534058 |
request_length | リクエストのサイズ (バイト単位) です。リクエスト行、ヘッダー、およびリクエストボディが含まれます。 | 111111 |
request_method | リクエストメソッドです。 | GET |
request_time_msec | WAF がリクエストの処理に要した時間 (ミリ秒単位) です。 | 44 |
request_traceid | WAF がリクエストに対して生成する一意の ID です。 | 7837b11715410386943437009ea1f0 |
request_traceid_origin | リクエストの元の ID です。 | 7ce319151*****18890e |
remote_region_id | IP アドレスが属する地理的リージョンの ID です。 | 410000 |
server_protocol | クライアントと WAF 間で使用されるプロトコルです。 重要 このフィールドは、保護対象が Function Compute (FC) サービスの場合はサポートされません。 | HTTP/1.1 |
ssl_cipher | クライアントリクエストで使用される暗号スイートです。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | クライアントリクエストで使用される SSL/TLS プロトコルとバージョンです。 | TLSv1.2 |
status | WAF がクライアントに返す HTTP ステータスコードです。たとえば、200 はリクエストが成功したことを示します。 | 200 |
time | クライアントがリクエストを開始した時刻です。時刻はタイムゾーンオフセットを含み、ISO 8601 標準に準拠した | 2018-05-02T16:03:59+08:00 |
upstream_addr | オリジンサーバーの IP アドレスとポートです。形式は 重要 このフィールドは、保護対象が Function Compute (FC) サービスの場合はサポートされません。 | 198.51.XX.XX:443 |
upstream_response_time | WAF からのバックツーオリジンリクエストに対して、オリジンサーバーが応答するまでに要した時間 (秒単位) です。 | 0.044 |
upstream_status | WAF からのバックツーオリジンリクエストに対してオリジンサーバーが返す HTTP ステータスコードです。たとえば、200 はリクエストが成功したことを示します。 | 200 |
user_id | WAF インスタンスが属する Alibaba Cloud アカウント ID です。 | 17045741******** |
オプションフィールド
オプションフィールドを有効にすると、Web アプリケーションファイアウォール (WAF) のログに含めることができます。WAF は、有効にしたオプションフィールドのみを記録します。
オプションフィールドを有効にすると、ログストレージの使用量が増加します。ストレージに十分な空き容量がある場合は、より詳細なログ分析のために追加のオプションフィールドを有効にすることを推奨します。
パラメーター | 説明 | 例 |
account | 抽出されたアカウント情報。このフィールドを使用するには、まず保護対象と保護対象グループを設定する 必要があります。 | user1 |
acl_action | リクエストが IP アドレスブラックリストまたはアクセス制御ルールに一致した場合に実行される保護アクション。有効な値:
WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
acl_rule_id | 一致したルールの ID。ルールは、IP アドレスブラックリスト、アクセス制御、リージョンブラックリスト、脅威インテリジェンス、基本ボット保護、またはボット管理のアプリ保護ルールです。 | 151235 |
acl_rule_type | 一致した IP アドレスブラックリストまたはアクセス制御ルールのタイプ。有効な値:
| custom |
acl_test | 一致した IP アドレスブラックリストまたはアクセス制御ルールの保護モード。有効な値:
説明
| false |
antiscan_action | スキャン保護ルールによって実行されるアクション。有効な値は block のみです。 WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
antiscan_rule_id | 一致したスキャン保護ルールの ID。 | 151235 |
antiscan_rule_type | 一致したスキャン保護ルールのタイプ。有効な値:
| highfreq |
antiscan_test | 一致したスキャン保護ルールの保護モード。有効な値:
| false |
body_bytes_sent | レスポンスボディのサイズ (バイト単位)。このサイズにはレスポンスヘッダーは含まれません。 重要 保護対象が Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | 1111 |
cc_action | またはスロットリングルールによって実行されるアクション。有効な値:
WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
cc_rule_id | 一致した またはスロットリングルールの ID。 | 151234 |
cc_rule_type | 一致した またはスロットリングルールのタイプ。有効な値:
| custom |
cc_test | 一致した またはスロットリングルールの保護モード。有効な値:
| false |
request_body | リクエストボディ。リクエストボディを最大 8 KB まで記録します。 | test123curl -ki https://automated-acltest02.**.top/ --resolve automated-acltest02.**.top:443:39.107.XX.XX |
request_headers_all | リクエスト内のすべてのヘッダー。 | { "Accept": "/", "Accept-Encoding": "gz**, de**te, **r", "Accept-Language": "zh-Hans-CN;q=1", "Connection": "keep-**ve", "Content-Length": "1**6", "Content-Type": "application/json", "Cookie": "cookie_key=**; acw_tc=0abc**opqrstuvwxyz0**7890;", "Host": "1.**.**.1", ... } |
request_header | カスタムリクエストヘッダー。このフィールドを選択した後、記録するリクエストヘッダーの名前を指定する必要があります。最大 5 つのカスタムリクエストヘッダーを追加できます。複数のヘッダー名はカンマ (,) で区切ります。 重要 保護対象が Microservices Engine (MSE) または Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | {"ttt":"abcd"} |
server_port | リクエストを受信する WAF ポート。 重要 保護対象が Microservices Engine (MSE)、Application Load Balancer (ALB)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | 443 |
waf_action | コア保護ルールによって実行されるアクション。有効な値は block のみです。 WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
waf_rule_id | 一致したコア保護ルールの ID。 説明 この ID は、セキュリティレポート ページの Web コア保護ルール タブで確認できます。詳細については、「セキュリティレポート」をご参照ください。 | 113406 |
waf_rule_type | 一致したコア保護ルールのタイプ。有効な値:
| xss |
waf_test | 一致したコア保護ルールの保護モード。有効な値:
| false |
major_protection_action | 重要イベント保護ルールによって実行されるアクション。WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
major_protection_rule_id | 重要イベント保護テンプレートで一致したルールの ID。 | 2221 |
major_protection_rule_type | 重要イベント保護テンプレートで一致したルールのタイプ。有効な値:
| waf_blocks |
major_protection_test | 一致した重要イベント保護ルールの保護モード。有効な値:
| true |
response_set_cookie | レスポンス内の Set-Cookie ヘッダー。 重要 保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800 |
response_header | レスポンス内のすべてのヘッダー。 重要 保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | {"transfer-encoding":"chunked","set-cookie":"acw_tc=**;path=\/;HttpOnly;Max-Age=1800","content-type":"text\/html;charset=utf-8","x-powered-by":"PHP\/7.2.24","server":"nginx\/1.18.0","connection":"close"} |
response_info | レスポンスボディ。レスポンスボディを最大 16 KB まで記録します。content-encoding ヘッダーの値が gzip の場合、レスポンスボディは Base64 エンコードされます。 重要 保護対象が Application Load Balancer (ALB)、Microservices Engine (MSE)、または Function Compute (FC) サービスの場合、このフィールドはサポートされません。 | $_POST received: <br/>Array ( [**] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA'] received: <br/> <hr/> php://input received: ** |
request_path | リクエストパス。URL のドメイン名の後、クエリ文字列 (?) の前の部分です。 | /news/search.php |
dlp_action | データ漏えい防止ルールによって実行される保護アクション。有効な値:
WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
dlp_rule_id | 一致したデータ漏えい防止ルールの ID。 | 20031483 |
dlp_test | 一致したデータ漏えい防止ルールの保護モード。有効な値:
| true |
querystring | リクエストのクエリ文字列。URL の疑問符 ( | title=tm_content%3Darticle&pid=123 |
scene_action | ボット管理のシナリオ固有のルールによって実行される保護アクション。有効な値:
WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | js |
scene_id | 一致したボット管理のシナリオ固有のルールのシナリオ ID。 | a82d992b_bc8c_47f0_87ce_**** |
scene_rule_id | 一致したボット管理のシナリオ固有のルールと基本保護設定ルールの ID。 | js-a82d992b_bc8c_47f0_87ce_****** |
scene_rule_type | 一致したボット管理のシナリオ固有のルールのタイプ。有効な値:
| bot_aialgo |
scene_test | 一致したボット管理のシナリオ固有のルールの保護モード。有効な値:
| true |
remote_addr | WAF に直接接続する IP アドレス。 クライアントが WAF に直接接続する場合、このフィールドはクライアントの IP アドレスを記録します。CDN などのレイヤー 7 プロキシが WAF の前にデプロイされている場合、このフィールドはプロキシの IP アドレスを記録します。 | 198.51.XX.XX |
remote_port | WAF に直接接続するポート。 クライアントが WAF に直接接続する場合、このフィールドはクライアントのポートを記録します。CDN などのレイヤー 7 プロキシが WAF の前にデプロイされている場合、このフィールドはプロキシのポートを記録します。 | 80 |
waf_hit | 基本保護ルールに一致した攻撃ペイロード。 | {"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j=${jndi:ldap://"}} |
compliance_hit | プロトコル違反ルールに一致したコンテンツ。 | ********7df271da040a |
compliance_action | プロトコル違反ルールによって実行されるアクション。有効な値は WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
compliance_rule_id | 一致したプロトコル違反ルールの ID。 | 300033 |
compliance_rule_type | 一致したプロトコル違反ルールのタイプ。有効な値は protocol_violation のみです。 | protocol_violation |
compliance_test | 一致したプロトコル違反ルールの保護モード。有効な値:
| false |
sema_hit | 意味解析ルールに一致したコンテンツ。 | {"queryarg_values":{"hit":["\" from mysql.user"],"raw":"queryarg.y=\" from mysql.user"}} |
sema_action | 意味解析ルールによって実行されるアクション。有効な値は block のみです。 WAF の保護アクションの詳細については、「*_action フィールドの説明」をご参照ください。 | block |
sema_rule_id | 一致した意味解析ルールの ID。 | 810015 |
sema_rule_type | 一致した意味解析ルールのタイプ。有効な値は sqli のみで、SQL インジェクションルールを示します。 | sqli |
sema_test | 一致した意味解析ルールの保護モード。有効な値:
| false |
wxbb_info_tbl | ボット管理のアプリ保護ルールに一致したリクエストのデバイス情報。 | { "abnormal_imei": "0", "abnormal_time": "1", *** "appversion": "9.4.3", "brand": "Android", *** } |
websdk_umid | ボット管理によって識別された Web クライアントの一意のデバイス識別子。 | 6543211729a19aa0123456 |
appsdk_umid | ボット管理によって識別されたアプリクライアントの一意のデバイス識別子。 | 3c76912d48ec5eb1ea6cb775ce1ba609 |
client_id | ボット管理によって識別されたクライアントタイプ。 | Python-urllib |
ja3_fingerprint | ボット管理によって識別されたトラフィックの JA3 フィンガープリント。 | 5c9e5897bbebcef37337bffb97587518 |
ja4_fingerprint | ボット管理によって識別されたトラフィックの JA4 フィンガープリント。 | b251a742b13fde5fba044eddfd05af34 |
http2_fingerprint | ボット管理によって識別されたトラフィックの HTTP/2 フィンガープリント。 | 52d84b11737d980aef856699f885ca86 |
non_terminating_rules | 終了を伴わないアクションを持つルールに一致するリクエストに関する情報。これには、モニター または back-to-origin マーカー アクションを持つルールに一致するリクエスト、および JS 検証、スライダー、厳密なスライダー、または 動的トークン などのチャレンジに合格したリクエストが含まれます。これらは、 | [{"id":"12345678","action":"monitor","defense_scene":"waf_base"},{"id":"123123123","type":"suspicious_idc","action":"monitor","defense_scene":"bot_manager"}, {"id":"12341234","bypass_punish":"1","defense_scene":"custom_acl"}] 説明 この例では、 |
terminating_rules | 終了アクションを伴うルールに一致するリクエストに関する情報。これには、ブロック アクションに一致するリクエスト、および JS 検証、スライダー、厳密なスライダー、または 動的トークン などのチャレンジに失敗したリクエストが含まれます。これらは、 | [{"id":"123456","action":"block","defense_scene":"custom_acl"}] |
remote_country_id | IP アドレスに関連付けられた国 ID。 | CN |
pp_state |
ビット単位の AND (&) 演算を使用して、特定のフラグが設定されているかどうかを確認できます。 | 6 (バイナリ |
_action フィールド
_action フィールドは、保護アクションを示します。たとえば、final_action は Web Application Firewall (WAF) が実行する最終アクションを指定し、waf_action はコア保護ルールのアクションを指定します。サポートされるアクションは保護ルールによって異なります。詳細については、対応するパラメーターの説明をご参照ください。
次の表は、WAF がサポートする保護アクションの一覧です。
アクション | 説明 |
block | Web リクエストをブロックし、クライアントに HTTP 405 エラーページを返します。 |
captcha_strict | 厳格なスライダーキャプチャ認証を実行します。WAF はクライアントにスライダー CAPTCHA ページを提示します。クライアントが CAPTCHA を正常に完了した場合にのみ、WAF はリクエストを許可します。それ以外の場合、リクエストをブロックします。このモードでは、クライアントからのすべてのリクエストに対して検証が必要です。 |
captcha | 一般的なスライダーキャプチャ認証を実行します。WAF はクライアントにスライダー CAPTCHA ページを提示します。クライアントが CAPTCHA を正常に完了した場合、WAF は一定期間 (デフォルト:30 分) 再検証なしでクライアントからの後続のリクエストを許可します。それ以外の場合、リクエストをブロックします。 |
js | JavaScript 検証を実行します。WAF はクライアントのブラウザに JavaScript チャレンジを発行します。ブラウザが JavaScript コードを正常に実行した場合、WAF は一定期間 (デフォルト:30 分) さらなるチャレンジなしでクライアントからの後続のリクエストを許可します。それ以外の場合、リクエストをブロックします。 |
js_pass | クライアントが JavaScript 検証に合格し、WAF がリクエストを許可したことを示します。 |
sigchl | 動的トークン認証を実行します。WAF は、クライアントが送信リクエストに署名するための Web SDK を提供します。リクエストに有効な署名がある場合、WAF はそれをオリジンサーバーに転送します。署名が無効または欠落している場合、WAF はクライアントにリクエストの再署名を要求します。 |