ログフィールドの説明

Cloud Firewallは、インバウンドトラフィックとアウトバウンドトラフィックのログをリアルタイムで自動的に収集して保存します。ログフィールドを指定して、必要なログコンテンツを照会できます。これにより、ログ分析とトラブルシューティングが容易になります。このトピックでは、Cloud Firewallのログフィールドと、インデックスをサポートするログフィールドについて説明します。

Cloud Firewallログフィールド

項目	説明	例
__time__	ログがLogstoreに書き込まれた時刻。	1703483369
__topic__	ログのトピックです。値は、Cloud Firewallのトラフィックログを示すcloudfirewall_access_logとして固定されています。	cloudfirewall_access_log
acl_rule_id	トラフィックがヒットするアクセス制御ポリシーのID。値が00000000-0000-0000-0000-000000000000の場合、アクセス制御ポリシーはヒットしません。	073a1475-6e11-43e2-8b28-98cee9c6 ****
aliuid	Alibaba Cloud アカウントの ID です。	1233333333 ****
app_dpi_state	アプリケーションの識別ステータス。有効な値： success: アプリケーションが正常に識別されました。 policy_discard: アプリケーションがポリシーによってブロックされています。 tcp_not_establish: TCP接続の確立に失敗しました。 analyzing: アプリケーションは分析中です。 no_payload: ペイロードは受信されません。 unknown_loose: アプリケーションはLooseモードでは未確認です。 unknown_strict: 厳密モードではアプリケーションが不明です。 none: アプリケーションの識別ステータスが記録されていません。	success
app_name	トラフィックのアプリケーションタイプ。有効な値: HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown。	HTTPS
attack_type_name	トラフィックに含まれる攻撃タイプの中国語名。
attack_type_name_en	トラフィックに含まれる攻撃タイプの英語名。	マイニング行動
country_id	国または地域。この値は、ISO 3166-1の2文字コードを使用します。 directionの値が [in] の場合、このフィールドの値は、トラフィックが開始された国または地域です。 directionの値がoutの場合、このフィールドの値は、トラフィックが送信される国または地域です。	CN
city_id	都市の一意の識別子。値は、中国の都市の6桁の行政地域コードです。たとえば、北京の行政地域コードは110000です。	110000
cloud_instance_id	保護されたアセットインスタンスのID。	ngw-bp1d5bx2orlw1p2wn ****
direction	トラフィックの方向。有効な値： in: 内部ネットワーク内の他のECSインスタンスまたはインターネット上のサーバーからElastic Compute Service (ECS) インスタンスへのインバウンドトラフィック。 out: ECSインスタンスから内部ネットワーク内の他のECSインスタンスまたはインターネット上のサーバーへのアウトバウンドトラフィック。説明仮想プライベートクラウド (VPC) ファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックを区別しません。 directionフィールドの値は、VPCファイアウォールのoutとして固定されています。	in
domain	トラフィックの宛先ドメイン名。説明このフィールドの値は、トラフィックにドメイン名情報が含まれている場合にのみ表示されます。	www.aliyundoc.com
dst_ip	トラフィックの宛先IPアドレス。	39.108.XX.XX
dst_network_instance_id	トラフィックの宛先ネットワークインスタンス。	vpc-bp18ina819injc9zs ****
dst_port	トラフィックの送信先ポート。	443
dst_region	トラフィックの宛先リージョン。	cn-beijing
end_time	セッションが終了した時刻。この値は UNIX タイムスタンプです。単位は秒です。	1702367350
firewall_id	VPCファイアウォールのID。	cen-m9y9u2hgc0t9im ****
in_bps	インバウンドトラフィックのレート。単位：bit/s。	42
in_packet_bytes	インバウンドトラフィックの合計バイト数。単位はバイトです。	58
in_packet_count	インバウンドトラフィックのパケット数。	1
in_pps	インバウンドトラフィックの平均データ伝送速度。単位: 1秒あたりのパケット数。説明データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。	1
ip_protocol	トラフィックのIPプロトコル。有効な値： tcp udp icmp	tcp
ips_ai_rule_id	トラフィックがヒットする推奨インテリジェントアクセス制御ポリシーのID。値が00000000-0000-0000-0000-000000000000の場合、推奨されるインテリジェントアクセス制御ポリシーは一致もヒットもしません。	00000000-0000-0000-0000-000000000000
ips_rule_id	トラフィックがヒットする侵入防止ポリシーのID。値が00000000-0000-0000-0000-000000000000の場合、一致またはヒットする侵入防止ポリシーはありません。	00000000-0000-0000-0000-000000000000
ips_rule_name	トラフィックがヒットする侵入防止ポリシーの中国語名。
ips_rule_name_en	トラフィックがヒットする侵入防止ポリシーの英語名。	ホストでのマイニング動作
log_type	ログタイプ。有効な値： internet_log: インターネットファイアウォールのログ vpc_firewall_log: VPCファイアウォールのログ nat_firewall_log: NATファイアウォールのログ dns_firewall_log: ドメインネームシステム (DNS) ファイアウォールのログ ipv6_firewall_log: IPv6アドレスのトラフィック保護ログ	internet_log
loose_allow_acl_id	一致前のアクセス制御ポリシーのID。有効な値： 00000000-0000-0000-0000-000000000000: 未確認のトラフィックが許可されていないことを示します。その他: 未確認のトラフィックが許可されていることを示します。値は、未確認トラフィックを許可するアクセス制御ポリシーのIDです。	00000000-0000-0000-0000-000000000000
new_conn	接続が新しい接続かどうかを示します。有効な値： 1: はい 0: なし	1
out_bps	アウトバウンドトラフィックのレート。単位：bit/s。	0
out_packet_bytes	送信トラフィックの合計バイト数。単位はバイトです。	0
out_packet_count	アウトバウンドトラフィックのパケット数。	0
out_pps	アウトバウンドトラフィックの平均データ伝送速度。単位: 1秒あたりのパケット数。説明データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。	0
region_id	リージョン ID です。リージョンIDの詳細については、「サポートされているリージョン」をご参照ください。 directionの値が [in] の場合、このフィールドの値は、トラフィックが送信されるリージョンのIDです。 directionの値がoutの場合、このフィールドの値は、トラフィックが開始されるリージョンのIDです。	cn-beijing
rule_result	アクセス制御ポリシーにヒットするトラフィックに対するアクション。有効な値： pass: 許可 alert: モニター drop: 拒否侵入防止ポリシーにヒットするトラフィックに対するアクション。有効な値： alert: トラフィックのアラートを生成します。 drop: トラフィックをブロックします。	アラート
rule_source	トラフィックがヒットするポリシーのソース。有効な値： basic_acl: アクセス制御 dns_acl_rule: DNSファイアウォール用に設定されたアクセス制御ポリシー intelligence: 脅威インテリジェンス ips_basic_rule: 基本的な保護 virtual_patch: 仮想パッチ不明	basic_acl
src_ip	トラフィックの送信元IPアドレス。	167.94.XX.XX
src_network_instance_id	トラフィックの送信元ネットワークインスタンス。	vpc-bp18ina819injc9zs ****
src_port	トラフィックの送信元ポート。送信元ポートは、トラフィックの送信元のホストのポートです。	47915
src_region	トラフィックのソースリージョン。	cn-beijing
src_vpc_id	トラフィックのソースVPCのID。	vpc-bp18ina819injc9zs ****
start_time	セッションが開始される時刻。この値は UNIX タイムスタンプです。単位は秒です。	1701759171
start_time_min	セッションの開始時刻。値は分単位です。この値は UNIX タイムスタンプです。単位は秒です。	1701759120
tcp_seq	TCPシリアル番号。	388367 ****
total_bps	インバウンドトラフィックとアウトバウンドトラフィックの合計データ伝送速度。単位：bit/s。	42
total_packet_bytes	インバウンドトラフィックとアウトバウンドトラフィックの合計パケットスループット。単位: バイト	58
total_packet_count	インバウンドトラフィックとアウトバウンドトラフィックの合計パケット数。	1
total_pps	インバウンドトラフィックとアウトバウンドトラフィックの平均データ伝送速度。単位: 1秒あたりのパケット数。説明データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。	0
url	サーバーがアクセスするWebサイトのURL。説明このフィールドの値は、app_nameの値がHTTPの場合にのみ表示されます。	http://aliyundoc.com/index.html
vul_level	悪意のあるトラフィックによって悪用される脆弱性のリスクレベル。有効な値： 0: 脆弱性は悪用されません。 1: 低リスクの脆弱性。 2: 中リスクの脆弱性。 3: リスクの高い脆弱性。	1

次に何をすべきか

Cloud Firewallのログ分析機能を有効にできます。詳細については、「ログ分析機能の有効化」をご参照ください。
収集したログをリアルタイムで照会および分析して、トラフィックの例外を監視し、アセットを保護できます。ログのクエリ方法の詳細については、「ログのクエリと分析」をご参照ください。
ログクエリと分析の結果をコンピューターにエクスポートしたり、結果をOSS (Object Storage Service) に配信して保存したりできます。詳細については、「ログのエクスポート」をご参照ください。

:ログフィールドの説明

Cloud Firewallログフィールド

インターネットファイアウォール

NATファイアウォール

VPCファイアウォール

インデックスをサポートするフィールド

ログフィールドの説明

次に何をすべきか