Cloud Firewallは、インバウンドトラフィックとアウトバウンドトラフィックのログをリアルタイムで自動的に収集して保存します。 ログフィールドを指定して、必要なログコンテンツを照会できます。 これにより、ログ分析とトラブルシューティングが容易になります。 このトピックでは、Cloud Firewallのログフィールドと、インデックスをサポートするログフィールドについて説明します。
Cloud Firewallログフィールド
インターネットファイアウォール
NATファイアウォール
VPCファイアウォール
インデックスをサポートするフィールド
ログフィールドの説明
項目 | 説明 | 例 |
__time__ | ログがLogstoreに書き込まれた時刻。 | 1703483369 |
__topic__ | ログのトピックです。 値は、Cloud Firewallのトラフィックログを示すcloudfirewall_access_logとして固定されています。 | cloudfirewall_access_log |
acl_rule_id | トラフィックがヒットするアクセス制御ポリシーのID。 値が00000000-0000-0000-0000-000000000000の場合、アクセス制御ポリシーはヒットしません。 | 073a1475-6e11-43e2-8b28-98cee9c6 **** |
aliuid | Alibaba Cloud アカウントの ID です。 | 1233333333 **** |
app_dpi_state | アプリケーションの識別ステータス。 有効な値:
| success |
app_name | トラフィックのアプリケーションタイプ。 有効な値: HTTPS、NTP、SIP、SMB、NFS、DNS、Unknown。 | HTTPS |
attack_type_name | トラフィックに含まれる攻撃タイプの中国語名。 |
|
attack_type_name_en | トラフィックに含まれる攻撃タイプの英語名。 | マイニング行動 |
country_id | 国または地域。 この値は、ISO 3166-1の2文字コードを使用します。
| CN |
city_id | 都市の一意の識別子。 値は、中国の都市の6桁の行政地域コードです。 たとえば、北京の行政地域コードは110000です。 | 110000 |
cloud_instance_id | 保護されたアセットインスタンスのID。 | ngw-bp1d5bx2orlw1p2wn **** |
direction | トラフィックの方向。 有効な値:
説明 仮想プライベートクラウド (VPC) ファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックを区別しません。 directionフィールドの値は、VPCファイアウォールのoutとして固定されています。 | in |
domain | トラフィックの宛先ドメイン名。 説明 このフィールドの値は、トラフィックにドメイン名情報が含まれている場合にのみ表示されます。 | www.aliyundoc.com |
dst_ip | トラフィックの宛先IPアドレス。 | 39.108.XX.XX |
dst_network_instance_id | トラフィックの宛先ネットワークインスタンス。 | vpc-bp18ina819injc9zs **** |
dst_port | トラフィックの送信先ポート。 | 443 |
dst_region | トラフィックの宛先リージョン。 | cn-beijing |
end_time | セッションが終了した時刻。 この値は UNIX タイムスタンプです。 単位は秒です。 | 1702367350 |
firewall_id | VPCファイアウォールのID。 | cen-m9y9u2hgc0t9im **** |
in_bps | インバウンドトラフィックのレート。 単位:bit/s。 | 42 |
in_packet_bytes | インバウンドトラフィックの合計バイト数。 単位はバイトです。 | 58 |
in_packet_count | インバウンドトラフィックのパケット数。 | 1 |
in_pps | インバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。 説明 データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。 | 1 |
ip_protocol | トラフィックのIPプロトコル。 有効な値:
| tcp |
ips_ai_rule_id | トラフィックがヒットする推奨インテリジェントアクセス制御ポリシーのID。 値が00000000-0000-0000-0000-000000000000の場合、推奨されるインテリジェントアクセス制御ポリシーは一致もヒットもしません。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_id | トラフィックがヒットする侵入防止ポリシーのID。 値が00000000-0000-0000-0000-000000000000の場合、一致またはヒットする侵入防止ポリシーはありません。 | 00000000-0000-0000-0000-000000000000 |
ips_rule_name | トラフィックがヒットする侵入防止ポリシーの中国語名。 |
|
ips_rule_name_en | トラフィックがヒットする侵入防止ポリシーの英語名。 | ホストでのマイニング動作 |
log_type | ログタイプ。 有効な値:
| internet_log |
loose_allow_acl_id | 一致前のアクセス制御ポリシーのID。 有効な値:
| 00000000-0000-0000-0000-000000000000 |
new_conn | 接続が新しい接続かどうかを示します。 有効な値:
| 1 |
out_bps | アウトバウンドトラフィックのレート。 単位:bit/s。 | 0 |
out_packet_bytes | 送信トラフィックの合計バイト数。 単位はバイトです。 | 0 |
out_packet_count | アウトバウンドトラフィックのパケット数。 | 0 |
out_pps | アウトバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。 説明 データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。 | 0 |
region_id | リージョン ID です。 リージョンIDの詳細については、「サポートされているリージョン」をご参照ください。
| cn-beijing |
rule_result | アクセス制御ポリシーにヒットするトラフィックに対するアクション。 有効な値:
侵入防止ポリシーにヒットするトラフィックに対するアクション。 有効な値:
| アラート |
rule_source | トラフィックがヒットするポリシーのソース。 有効な値:
| basic_acl |
src_ip | トラフィックの送信元IPアドレス。 | 167.94.XX.XX |
src_network_instance_id | トラフィックの送信元ネットワークインスタンス。 | vpc-bp18ina819injc9zs **** |
src_port | トラフィックの送信元ポート。 送信元ポートは、トラフィックの送信元のホストのポートです。 | 47915 |
src_region | トラフィックのソースリージョン。 | cn-beijing |
src_vpc_id | トラフィックのソースVPCのID。 | vpc-bp18ina819injc9zs **** |
start_time | セッションが開始される時刻。 この値は UNIX タイムスタンプです。 単位は秒です。 | 1701759171 |
start_time_min | セッションの開始時刻。 値は分単位です。 この値は UNIX タイムスタンプです。 単位は秒です。 | 1701759120 |
tcp_seq | TCPシリアル番号。 | 388367 **** |
total_bps | インバウンドトラフィックとアウトバウンドトラフィックの合計データ伝送速度。 単位:bit/s。 | 42 |
total_packet_bytes | インバウンドトラフィックとアウトバウンドトラフィックの合計パケットスループット。 単位: バイト | 58 |
total_packet_count | インバウンドトラフィックとアウトバウンドトラフィックの合計パケット数。 | 1 |
total_pps | インバウンドトラフィックとアウトバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。 説明 データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。 | 0 |
url | サーバーがアクセスするWebサイトのURL。 説明 このフィールドの値は、app_nameの値がHTTPの場合にのみ表示されます。 | http://aliyundoc.com/index.html |
vul_level | 悪意のあるトラフィックによって悪用される脆弱性のリスクレベル。 有効な値:
| 1 |
次に何をすべきか
Cloud Firewallのログ分析機能を有効にできます。 詳細については、「ログ分析機能の有効化」をご参照ください。
収集したログをリアルタイムで照会および分析して、トラフィックの例外を監視し、アセットを保護できます。 ログのクエリ方法の詳細については、「ログのクエリと分析」をご参照ください。
ログクエリと分析の結果をコンピューターにエクスポートしたり、結果をOSS (Object Storage Service) に配信して保存したりできます。 詳細については、「ログのエクスポート」をご参照ください。