このトピックでは、Web Application Firewall (WAF) でサポートされるログフィールドについて説明します。
フィールド取得のためのテーブル
次の表に、WAFでサポートされているログフィールドを示します。 フィールド名を使って、特定のフィールドを照会することができます。
次の表に、WAFでサポートされているすべてのアクションを示します。
アクションフィールドの値 | 説明 |
---|---|
block | ブロックアクションを示します。WAFはクライアントからのリクエストをブロックし、405エラーページをクライアントに返します。 |
captcha_strict | スライダーの CAPTCHA 検証が厳格であることを示す。WAFは、スライダーCAPTCHAの検証に使用するページをクライアントに返します。クライアントが strict slider CAPTCHA 検証に合格した場合、WAF はクライアントからの要求を許可します。クライアントが strict slider CAPTCHA 検証に失敗した場合、WAF はリクエストをブロックします。クライアントがリクエストを送信するたびに、厳密なスライダー CAPTCHA 検証に 合格する必要があります。 |
captcha | 共通スライダーCAPTCHAによる検証を示す。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが共通スライダーCAPTCHA検証に合格した場合、WAFは特定の時間範囲内のクライアントからの要求を許可します。 この時間範囲の間、クライアントは検証をバイパスすることができる。 デフォルトでは、時間範囲は30分です。 クライアントがcommon slider CAPTCHA検証に失敗した場合、WAFはクライアントからの要求をブロックします。 |
sigchl | 動的トークン認証を示します。 Web リクエストは署名される。クライアントがリクエストを送信すると、WAFが発行するWeb SDKがリクエストに対する署名を生成する。署名はリクエストと一緒に転送される。署名が生成され、検証された場合、リクエストはオリジンサーバーに送信される。署名の生成または検証に失敗した場合、クライアントが動的トークンを取得するためのコードブロックが返され、リクエストに再度署名する必要があります。 |
js | JavaScriptの検証を示す。WAFはクライアントにJavaScriptのコードを返します。JavaScriptのコードは、クライアントが使用するブラウザによって自動的に実行されます。クライアントがJavaScriptの検証を通過すると、WAFは特定の時間範囲内でクライアントからのリクエストを許可します。この時間範囲内であれば、クライアントは検証を回避することができます。 デフォルトでは、時間範囲は30分です。 クライアントがJavaScriptの検証に失敗した場合、WAFはクライアントからのリクエストをブロックする。 |
パス | 許可アクションを示します。 WAFは、クライアントからのリクエストを許可し、リクエストを配信元サーバーに転送します。 |
captcha_strict_pass | クライアントが厳密なスライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 |
captcha_pass | クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 |
sigchl_pass | クライアントが動的トークン認証を渡し、WAFがクライアントからの要求を許可することを示します。 |
js_pass | クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。 |
マスク | WAFがオリジンサーバーから返された機密データをマスクし、その結果をクライアントに返すことを示します。 この動作はデータ漏洩防止機能のみが対応しています。 |
continue | 許可アクションを示します。 継続フィールドの具体的な意味は、保護機能に基づいて異なります。 詳細については、normalized_actionおよびwxbb_actionフィールドの説明をご参照ください。 |
必須フィールド
必須項目とは、WAFのログに必ず含まれる項目を指します。
フィールド | 説明 | サンプル値 |
---|---|---|
acl_rule_type | トリガーされるルールの種類です。ルールは、ブラックリストまたはカスタム保護ポリシー(ACL)機能に対して作成されます。 設定可能な値は以下のとおりです。
| custom |
bypass_matched_ids | リクエストを許可するためにトリガーされるルールのID。 ルールは、ホワイトリストルールまたはリクエストを許可するカスタム保護ルールにすることができます。 リクエストを許可するために複数のルールが同時にトリガーされた場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。 | 283531 |
cc_rule_type | トリガーされるルールのタイプ。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。 設定可能な値は以下のとおりです。
| custom |
content_type | 要求されたコンテンツの種類。 | application/x-www-form-urlencoded |
final_action | WAFがリクエストに対して実行するアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 要求が保護機能を起動しない場合、そのフィールドは記録されない。たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。 優先順位の高い順に、ブロック、厳格なスライダーCAPTCHA認証、共通スライダーCAPTCHA認証、動的トークン認証、JavaScript認証となります。 | block |
final_plugin | リクエストに対して final_action で指定されたアクションを実行する保護機能。設定可能な値は以下のとおりです。
上記の保護機能を設定するには、Web Application Firewall consoleにログインし、左側のナビゲーションウィンドウで を選択します。 WAF保護機能の詳細については、「Webサイト保護の概要」をご参照ください。 リクエストが保護機能をトリガーしない場合、フィールドは記録されません。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。 要求が複数の保護機能を同時にトリガーした場合、フィールドは記録され、で指定されたアクションを実行する保護機能のみを含む。 final_action. | ワフ |
final_rule_id | リクエストに適用されるルールのID。ルールは、finish_actionフィールドに記録されるアクションを定義します。 | 115341 |
final_rule_type | リクエストに適用されるルールのサブタイプ。 ルールはfinal_rule_idで示されます。 たとえば、 | xss/webshell |
ホスト | リクエストのHostヘッダーフィールド。アクセスするドメイン名またはIPアドレスを示します。 | api.example.com |
http_cookie | リクエストのcookieヘッダーフィールド。クライアントに関するcookie情報を示します。 | k1=v1;k2=v2 |
http_referer | リクエストのRefererヘッダーフィールド。リクエストに関するソースURL情報を示します。 リクエストにソースURL情報が含まれていない場合、フィールドの値はハイフン ( | http://example.com |
http_user_agent | リクエストヘッダーのUser-Agentフィールド。 このフィールドには、ブラウザとオペレーティングシステムに関する情報が含まれています。 | Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK) |
http_x_forward_for | リクエストヘッダーのX-Forwarded_For (XFF) フィールド。 このフィールドは、HTTPプロキシまたは負荷分散デバイスを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。 | 47.100.XX.XX |
https | リクエストが HTTPS リクエストであるかどうかを示します。 設定可能な値は以下のとおりです。
| on |
一致した_host | WAFによって照合されるドメイン名。 保護のためにドメイン名がWAFに追加されます。 説明 ワイルドカードドメインはWAFに追加でき、WAFはワイルドカードドメインと一致する場合があります。 たとえば、ドメイン名 * .aliyun.comがWAFに追加され、d www.aliyun.comが要求された場合、WAFはドメイン名 * .aliyun.comと一致します。 | *.aliyun.com |
querystring | リクエスト内の照会文字列。 クエリ文字列は、要求されたURLの疑問符 (?) に続く部分を参照します。 | title=tm_content%3Darticle&pid=123 |
real_client_ip | リクエストを開始したクライアントの送信元IPアドレス。 WAFは、リクエストの分析に基づいて送信元IPアドレスを識別します。 WAFがクライアントの送信元IPアドレスを識別できない場合、フィールドの値はハイフン ( | 192.0.XX.XX |
remote_addr | WAFへの接続に使用されるIPアドレス。 WAFがクライアントに直接接続されている場合、このフィールドにはクライアントの送信元IPアドレスが記録されます。 Alibaba Cloud CDN (CDN) などのレイヤー7プロキシがWAFの前にデプロイされている場合、このフィールドにはプロキシのIPアドレスが記録されます。 | 198.51.XX.XX |
remote_port | WAFへの接続に使用されるポート。 WAFがクライアントに直接接続されている場合、このフィールドにはクライアントのポートが記録されます。CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドはプロキシのポートを記録します。 | 80 |
request_length | リクエスト内のバイト数。 リクエストには、リクエスト行、リクエストヘッダー、リクエスト本文が含まれます。 単位:バイト | 111111 |
request_method | リクエスト方式。 | GET |
request_path | 要求された相対パス。 相対パスは、要求されたURLのドメイン名と疑問符 (?) の間の部分を参照します。 相対パスにはクエリ文字列は含まれません。 | /news/search.php |
request_time_msec | WAFがリクエストを処理するのにかかる時間。 単位:ミリ秒。 | 44 |
request_traceid | リクエストごとにWAFによって生成される一意の識別子。 | 7837b11715410386943437009ea1f0 |
server_protocol | WAFによって転送された要求に応答するためにオリジンサーバーによって使用されるプロトコルとバージョン。 | HTTP/1.1 |
status | WAFによってクライアントに返されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。 | 200 |
time | 要求が開始された時点のこと。 時刻はyyyy-MM-ddTHH:mm:ss + 08:00 形式のISO 8601標準に従います。 時間は UTC にする必要があります。 | 2018-05-02T16:03:59+08:00 |
upstream_addr | オリジンサーバーのIPアドレスとポート番号。 形式はIPアドレス: ポート です。 MultipleペアIPのアドレスとポートcommasによって分離されている (、) 。 | 198.51。XX。XX:443 |
upstream_response_time | WAFによって転送されたリクエストに配信元サーバーが応答するのに必要な時間。 (単位:秒) | 0.044 |
upstream_status | WAFからの要求に対する応答としてオリジンサーバーによって送信されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。 | 200 |
オプションフィールド
ビジネス要件に基づいて、WAFログにオプションのフィールドを含めることができます。 WAF logs record only the optional fields that you enable.
オプションのフィールドを有効にすると、WAFログはより多くのストレージ容量を占有します。 十分なログストレージ容量がある場合は、より多くのオプションフィールドを有効にすることを推奨します。 これにより、ログをより包括的に分析できます。 オプションフィールドの設定方法の詳細については、「ログ設定の変更」をご参照ください。
フィールド | 説明 | サンプル値 |
---|---|---|
account_action | アカウントセキュリティルールがトリガーされた後にリクエストに対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
account_rule_id | トリガーされたアカウントセキュリティルールのID。 | 151235 |
account_test | アカウントセキュリティルールがトリガーされた後にリクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
acl_アクション | ブラックリストまたはカスタム保護ポリシー (ACL) 機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
acl_rule_id | トリガーされるルールのID。 ブラックリストまたはカスタム保護ポリシー (ACL) 機能のルールが作成されます。 | 151235 |
acl_test | ブラックリストまたはカスタム保護ポリシー (ACL) 機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
algorithm_action | 通常のボット動作識別機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
algorithm_rule_id | トリガーされるルールのID。 ルールは、典型的なボット動作識別機能のために作成される。 | 151235 |
algorithm_test | 通常のボット動作識別機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
不正防止_アクション | データリスク管理機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
antifraud_test | データリスク管理機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
antiscan_アクション | スキャン保護機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
antiscan_rule_id | トリガーされるルールの ID。 スキャン保護機能のルールが作成されます。 | 151235 |
antiscan_rule_type | トリガーされるルールのタイプ。 スキャン保護機能のルールが作成されます。 設定可能な値は以下のとおりです。
| highfreq |
antiscan_test | スキャン保護機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
ブロック_アクション | 重要 WAFのアップグレードにより、このフィールドは無効になりました。 このフィールドは、final_pluginフィールドに置き換えられます。 block_actionフィールドがサービスで使用されている場合は、できるだけ早い機会にfinal_pluginに置き換えてください。
| ワフ |
body_bytes_sent | サーバーがクライアントに返すレスポンス本文のバイト数。 レスポンスヘッダのバイト数はカウントされません。 単位:バイト | 1111 |
cc_アクション | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
cc_rule_id | トリガーされるルールのID。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。 | 151234 |
cc_test | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。 設定可能な値は以下のとおりです。
| false |
deeplearning_action | 深層学習エンジン機能に対して作成されたルールが発動された後、リクエストに対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
deeplearning_rule_id | トリガーされるルールのID。 ルールは、深層学習エンジン機能用に作成されます。 | 151238 |
deeplearning_rule_型 | トリガーされるルールのタイプ。ルールは、深層学習エンジン機能用に作成されます。 設定可能な値は以下のとおりです。
| xss |
deeplearning_test | 深層学習エンジン機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
dlp_アクション | データ漏洩防止機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | マスク |
dlp_rule_id | トリガーされるルールのID。 データ漏えい防止機能のルールを作成します。 | 151245 |
dlp_test | データ漏えい防止機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。 設定可能な値は以下のとおりです。
| false |
インテリジェンス_アクション | ボット脅威インテリジェンス機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
intelligence_rule_id | トリガーされるルールのID。 ルールは、ボット脅威インテリジェンス機能用に作成されます。 | 152234 |
インテリジェンス_テスト | ボット脅威インテリジェンス機能用に作成されたルールがトリガーされた後、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
正規化された_アクション | ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
normalized_rule_id | トリガーされるルールのID。 正のセキュリティモデル機能のルールが作成されます。 | 151266 |
normalized_rule_type | トリガーされるルールのタイプ。 正のセキュリティモデル機能のルールが作成されます。 設定可能な値は以下のとおりです。
| User-Agent |
normalized_test | ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
region | WAFインスタンスが存在するリージョンのID。 設定可能な値は以下のとおりです。
| cn |
request_body | リクエスト本文。 | 私は暗号化されているかどうかにかかわらず、リクエストボディです! |
scene_action | シナリオ固有の構成用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
scene_id | トリガーされたルールのシナリオID。 ルールは、シナリオ固有の構成用に作成されます。 | 151235 |
scene_rule_id | トリガーされるルールのID。 ルールは、シナリオ固有の構成用に作成されます。 | 153678 |
scene_rule_type | トリガーされるルールのタイプ。 ルールは、シナリオ固有の構成用に作成されます。 設定可能な値は以下のとおりです。
| bot_aialgo |
sigchl_invalid_type | 動的トークン認証ルールによってリクエストが異常と見なされる理由。 設定可能な値は以下のとおりです。
| sigchl_invalid_sig |
scene_test | シナリオ固有の構成用に作成されたルールがトリガーされた後、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
server_port | 要求された宛先ポート。 | 443 |
ssl_cipher | リクエストで使用される暗号化スイート。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | リクエストで使用されるSSLまたはTLSプロトコルとバージョン。 | TLSv1.2 |
ua_ブラウザ | リクエストを開始するブラウザの名前。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | ie9 |
ua_browser_ファミリー | ブラウザが属するファミリ。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | internet explorer |
ua_browser_type | リクエストを開始するブラウザーのタイプ。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | web_browser |
ua_browser_version | リクエストを開始するブラウザのバージョン。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | 9.0 |
ua_device_type | リクエストを開始するクライアントのデバイスタイプ。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | computer |
ua_os | 要求を開始するクライアントのオペレーティングシステム。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | windows_7 |
ua_os_ファミリー | クライアントのオペレーティングシステムが属するファミリ。 重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。 リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。 詳細は、「http_user_agent」をご参照ください。 | windows |
ユーザー_id | WAFインスタンスが属するAlibaba CloudアカウントのID。 | 17045741 ******** |
waf_action | 保護ルールエンジン機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。 値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
waf_rule_id | トリガーされるルールのID。 保護ルールエンジン機能のルールが作成されます。 | 113406 |
waf_rule_type | トリガーされるルールのタイプ。 ルールは、保護ルールエンジン機能に対して作成されます。 設定可能な値は以下のとおりです。
| xss |
waf_test | 保護ルールエンジン機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。 設定可能な値は以下のとおりです。
| false |
wxbb_アクション | アプリ保護機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。 設定可能な値は以下のとおりです。
WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。 | block |
wxbb_invalid_wua | アプリ保護機能用に作成されたルールに基づいて、リクエストが異常と見なされる理由。 設定可能な値は以下のとおりです。
| wxbb_invalid_sign |
wxbb_rule_id | トリガーされるルールのID。 アプリ保護機能のルールが作成されます。 | 156789 |
wxbb_test | アプリ保護機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。 設定可能な値は以下のとおりです。
| false |