Log Service を使用して、WAF で保護されたオブジェクトに対する全リクエストログを検索および分析します。クエリ結果から、チャートの作成、アラートルールの設定、および再利用可能なクエリの保存が可能です。
Log Service では、保護対象に対して収集されたすべてのリクエストログが表示されます。WAF 保護ルールに一致したセキュリティイベントの概要を確認するには、「検知と対応 > セキュリティレポート」に移動してください。
前提条件
開始する前に、以下の点を確認してください。
WAF の Simple Log Service (SLS) 機能が有効化されていること。詳細については、「WAF の Simple Log Service 機能の有効化または無効化」をご参照ください。
Web サービスが保護対象として WAF 3.0 に追加されています。詳細については、「保護対象と保護対象グループを設定する」をご参照ください。
クエリ対象の保護対象について、ログ配信が有効化されていること。詳細については、「ログ配信ステータスの管理」をご参照ください。
ログのクエリおよび分析
WAF 3.0 コンソールにログインします。上部ナビゲーションバーで、WAF インスタンスのリソースグループおよびリージョンを選択します。対応リージョン:「中国本土」および「中国本土以外」。
左側のナビゲーションウィンドウで、[検知と対応] > [Log Service] を選択します。
Log Service ページの上部で、ログをクエリする保護対象を選択します。
重要選択した保護対象の「ステータス」スイッチがオンになっていることを確認してください。ログ配信が無効化されている場合、WAF は当該保護対象のログ収集を停止し、クエリおよび分析可能なログは一切提供されません。ログ配信を有効化するには、このページで保護対象を検索し、その名前をクリックして「ステータス」スイッチをオンに切り替えます。あるいは、「ログ構成 > 配信設定」に移動し、「Simple Log Service への配信ステータス」列からログ配信を管理します。詳細については、「ログ配信ステータスの管理」をご参照ください。
クエリ文を入力して実行し、ログの検索および分析を行います。
検索ボックス(図中の 1)に検索文を入力します。Simple Log Service の検索構文を使用して検索文を作成します。必要に応じて、WAF ログフィールドを検索フィールドとして使用します。サポートされるログフィールドの一覧については、「ログフィールド」をご参照ください。検索構文に慣れていない場合は、検索ボックス上部の「高度な検索」をクリックします。検索条件を指定して「検索」をクリックすると、対応する検索文が自動生成されます。
利用可能な検索条件は以下のとおりです:検索条件
説明
IP
リクエストを送信したクライアントの IP アドレス。
リクエスト ID
WAF が各クライアントリクエストに割り当てる一意の識別子。WAF は、ブロックページおよび CAPTCHA チャレンジページにリクエスト ID を含めます。特定のリクエストの調査およびトラブルシューティングには、リクエスト ID を使用します。
ルール ID
リクエストに一致した WAF 保護ルールの ID。ルール ID は、「ルール構成」ページで確認できます。また、「セキュリティレポート」ページのルール一致レコードから取得することも可能です。詳細については、「セキュリティレポート」をご参照ください。
オリジンサーバーから返されたステータスコード
WAF が転送したリクエストに対し、オリジンサーバーが返した HTTP ステータスコード。
WAF から返されたステータスコード
WAF がクライアントに返した HTTP ステータスコード。
保護モジュール
リクエストに一致した WAF 保護モジュール。保護モジュールおよびその構成に関する詳細については、「保護構成の概要」をご参照ください。
(任意)検索結果に対して計算または統計処理を実行するには、検索文の末尾に縦棒(
|)を区切り文字として分析文を追加します。分析文は標準 SQL-92 構文で記述します。詳細については、「ログ分析の概要」をご参照ください。タイムピッカー(図中の 2)を使用して、クエリの時間範囲を設定します。
検索および分析(図中の 3)をクリックします。クエリ結果がページ下部に表示されます:上部にログ分布ヒストグラム、その後に「生ログ」「グラフ」「LogReduce」タブが続きます。
クエリ結果の活用
クエリを実行した後、結果ページを使用してログの調査、チャートの作成、アラートの設定が可能です。以下に利用可能なツールを説明します。
ページの概要
ヒストグラム
ヒストグラムは、クエリ対象の時間範囲におけるログの分布を示します。各緑色の長方形は、一定の時間間隔を表します。
長方形にマウスカーソルを合わせると、その時間間隔およびその間隔内でのログ数が表示されます。
長方形をダブルクリックすると、より細かい粒度で表示するために当該時間間隔にズームインします。「生ログ」タブは、選択された間隔内のログのみを表示するように更新されます。
生ログ
ログの詳細
| 操作 | 説明 |
|---|---|
| テーブル / 生データ | テーブル表示と生ログ表示を切り替えます。 |
|  > ログのダウンロード | 現在のログ結果をコンピューターにダウンロードできます。詳細については、「ログのダウンロード」をご参照ください。 |
|  > JSON 設定 | JSON フィールドの表示タイプおよび展開レベルを設定します。 |
|  > [イベント設定] | 生ログのイベントを設定します。詳細については、「イベント設定」をご参照ください。 |
 | ログ内容をコピーします。 |
 | ログ内の特定の情報またはクエリエラー情報をラベル付けします。このアイコンはコパイロット支援機能も提供します。 |
 | 生のログファイル内の特定のログエントリのコンテキスト情報を表示します。Logtail によって収集されたログにのみ利用可能です。詳細については、「コンテキストクエリ」をご参照ください。 |
 | ログの内容をリアルタイムで監視し、重要なログ情報を抽出します。Logtail によって収集されたログのみで利用可能です。詳細については、「LiveTail」をご参照ください。 |
表示フィールド
表示フィールドは、右側のログ内容パネルに表示されます。実施する分析の種類に応じて、表示するフィールドをカスタマイズできます。たとえば、潜在的な攻撃の調査時には IP およびルール ID にフォーカスし、オリジンサーバーのエラーのトラブルシューティング時にはステータスコードにフォーカスします。
| アクション | 説明 |
|---|---|
フィールドにカーソルを合わせ >  | [表示フィールド] からフィールドを削除します。フィールドはログコンテンツパネルに表示されなくなります。 |
 | 現在のフィールドビューをお気に入りに保存します。フィールドパネルの上にあるドロップダウンリストから、保存したビューを選択します。 |
|  > [タグ設定] | フィールドをシステムタグとして追加します。 |
|  > [エイリアス] | フィールド名をエイリアスに置き換えます。エイリアスが設定されていないフィールドは、元の名前のままです。エイリアスの設定の詳細については、「インデックスの作成」をご参照ください。 |
インデックス付きフィールド
| 操作 | 説明 |
|---|---|
フィールドにマウスカーソルを合わせて >  | 「表示フィールド」に当該フィールドを追加し、ログ内容パネルに表示します。 |
 | フィールドの詳細([基本配布] および [統計メトリクス] を含む)を表示します。詳細については、「フィールド設定」をご参照ください。 |
グラフ
Simple Log Service は、クエリ結果をチャートとしてレンダリングします ― テーブル、折れ線グラフ、縦棒グラフなどです。チャートの種類の完全な一覧については、「チャート」をご参照ください。
「グラフ」タブで利用可能なその他の操作:
| 操作 | 説明 |
|---|---|
| 新規ダッシュボードに追加 | 現在のチャートを、継続的なモニタリングのためにダッシュボードに保存します。詳細については、「可視化の概要」をご参照ください。 |
| スケジュール済み SQL ジョブとして保存 | この分析をスケジュールに従って自動的に実行し、結果を集約または保存します。詳細については、「Scheduled SQL の仕組み」をご参照ください。 |
| インタラクション発生数 | ダッシュボードでドリルダウン分析を実行するための対話発生の設定特定のデータディメンションへ掘り下げて、より細かい粒度の分析を実行します。詳細については、「」をご参照ください。 |
LogReduce
ログ収集時に類似ログをクラスター化するには、[LogReduce の有効化] をクリックします。詳細については、「LogReduce」をご参照ください。
SQL 強化
右上隅にある
アイコンをクリックして、専用 SQL を有効化します。データセットが大規模であるか、または長い期間をカバーしている場合、標準 SQL では単一のクエリですべてのデータを処理できない可能性があります。専用 SQL は、利用可能なコンピューティングリソースと 1 回のクエリで分析できるデータ量を増加させます。詳細については、「専用 SQL の有効化」をご参照ください。
アラート
右上隅にある 
アイコンをクリックして、現在のクエリに基づいてアラートルールを設定します。詳細については、「Simple Log Service でアラートルールを設定する」をご参照ください。
保存された検索
右上隅の 
アイコンをクリックして、現在のクエリ文をクイック検索として保存し、素早く再利用できるようにします。詳細については、「クイック検索」をご参照ください。
共有
右上隅の 
[アイコン] をクリックして、現在のページの共有可能なリンクをコピーします。詳細については、「コンソールページを埋め込み、ログデータを共有する」をご参照ください。