すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:ログフィールドの説明

最終更新日:Oct 28, 2024

Cloud Firewallは、インバウンドトラフィックとアウトバウンドトラフィックのログをリアルタイムで自動的に収集して保存します。 ログフィールドを指定して、必要なログコンテンツを照会できます。 これにより、ログ分析とトラブルシューティングが容易になります。 このトピックでは、Cloud Firewallのログフィールドと、インデックスをサポートするログフィールドについて説明します。

Cloud Firewallログフィールド

インターネットファイアウォール

NATファイアウォール

VPCファイアウォール

ログフィールドの説明

項目

説明

__time__

ログがLogstoreに書き込まれた時刻。

1703483369

__topic__

ログのトピックです。 値は、Cloud Firewallのトラフィックログを示すcloudfirewall_access_logとして固定されています。

cloudfirewall_access_log

acl_rule_id

トラフィックがヒットするアクセス制御ポリシーのID。

値が00000000-0000-0000-0000-000000000000の場合、アクセス制御ポリシーはヒットしません。

073a1475-6e11-43e2-8b28-98cee9c6 ****

aliuid

Alibaba Cloud アカウントの ID です。

1233333333 ****

app_dpi_state

アプリケーションの識別ステータス。 有効な値:

  • success: アプリケーションが正常に識別されました。

  • policy_discard: アプリケーションがポリシーによってブロックされています。

  • tcp_not_establish: TCP接続の確立に失敗しました。

  • analyzing: アプリケーションは分析中です。

  • no_payload: ペイロードは受信されません。

  • unknown_loose: アプリケーションはLooseモードでは未確認です。

  • unknown_strict: 厳密モードではアプリケーションが不明です。

  • none: アプリケーションの識別ステータスが記録されていません。

success

app_name

トラフィックのアプリケーションタイプ。 有効な値: HTTPSNTPSIPSMBNFSDNSUnknown

HTTPS

attack_type_name

トラフィックに含まれる攻撃タイプの中国語名。

attack_type_name_en

トラフィックに含まれる攻撃タイプの英語名。

マイニング行動

country_id

国または地域。 この値は、ISO 3166-1の2文字コードを使用します。

  • directionの値が [in] の場合、このフィールドの値は、トラフィックが開始された国または地域です。

  • directionの値がoutの場合、このフィールドの値は、トラフィックが送信される国または地域です。

CN

city_id

都市の一意の識別子。 値は、中国の都市の6桁の行政地域コードです。 たとえば、北京の行政地域コードは110000です。

110000

cloud_instance_id

保護されたアセットインスタンスのID。

ngw-bp1d5bx2orlw1p2wn ****

direction

トラフィックの方向。 有効な値:

  • in: 内部ネットワーク内の他のECSインスタンスまたはインターネット上のサーバーからElastic Compute Service (ECS) インスタンスへのインバウンドトラフィック。

  • out: ECSインスタンスから内部ネットワーク内の他のECSインスタンスまたはインターネット上のサーバーへのアウトバウンドトラフィック。

説明

仮想プライベートクラウド (VPC) ファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックを区別しません。 directionフィールドの値は、VPCファイアウォールのoutとして固定されています。

in

domain

トラフィックの宛先ドメイン名。

説明

このフィールドの値は、トラフィックにドメイン名情報が含まれている場合にのみ表示されます。

www.aliyundoc.com

dst_ip

トラフィックの宛先IPアドレス。

39.108.XX.XX

dst_network_instance_id

トラフィックの宛先ネットワークインスタンス。

vpc-bp18ina819injc9zs ****

dst_port

トラフィックの送信先ポート。

443

dst_region

トラフィックの宛先リージョン。

cn-beijing

end_time

セッションが終了した時刻。 この値は UNIX タイムスタンプです。 単位は秒です。

1702367350

firewall_id

VPCファイアウォールのID。

cen-m9y9u2hgc0t9im ****

in_bps

インバウンドトラフィックのレート。 単位:bit/s。

42

in_packet_bytes

インバウンドトラフィックの合計バイト数。 単位はバイトです。

58

in_packet_count

インバウンドトラフィックのパケット数。

1

in_pps

インバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。

説明

データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。

1

ip_protocol

トラフィックのIPプロトコル。 有効な値:

  • tcp

  • udp

  • icmp

tcp

ips_ai_rule_id

トラフィックがヒットする推奨インテリジェントアクセス制御ポリシーのID。

値が00000000-0000-0000-0000-000000000000の場合、推奨されるインテリジェントアクセス制御ポリシーは一致もヒットもしません。

00000000-0000-0000-0000-000000000000

ips_rule_id

トラフィックがヒットする侵入防止ポリシーのID。

値が00000000-0000-0000-0000-000000000000の場合、一致またはヒットする侵入防止ポリシーはありません。

00000000-0000-0000-0000-000000000000

ips_rule_name

トラフィックがヒットする侵入防止ポリシーの中国語名。

ips_rule_name_en

トラフィックがヒットする侵入防止ポリシーの英語名。

ホストでのマイニング動作

log_type

ログタイプ。 有効な値:

  • internet_log: インターネットファイアウォールのログ

  • vpc_firewall_log: VPCファイアウォールのログ

  • nat_firewall_log: NATファイアウォールのログ

  • dns_firewall_log: ドメインネームシステム (DNS) ファイアウォールのログ

  • ipv6_firewall_log: IPv6アドレスのトラフィック保護ログ

internet_log

loose_allow_acl_id

一致前のアクセス制御ポリシーのID。 有効な値:

  • 00000000-0000-0000-0000-000000000000: 未確認のトラフィックが許可されていないことを示します。

  • その他: 未確認のトラフィックが許可されていることを示します。 値は、未確認トラフィックを許可するアクセス制御ポリシーのIDです。

00000000-0000-0000-0000-000000000000

new_conn

接続が新しい接続かどうかを示します。 有効な値:

  • 1: はい

  • 0: なし

1

out_bps

アウトバウンドトラフィックのレート。 単位:bit/s。

0

out_packet_bytes

送信トラフィックの合計バイト数。 単位はバイトです。

0

out_packet_count

アウトバウンドトラフィックのパケット数。

0

out_pps

アウトバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。

説明

データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。

0

region_id

リージョン ID です。 リージョンIDの詳細については、「サポートされているリージョン」をご参照ください。

  • directionの値が [in] の場合、このフィールドの値は、トラフィックが送信されるリージョンのIDです。

  • directionの値がoutの場合、このフィールドの値は、トラフィックが開始されるリージョンのIDです。

cn-beijing

rule_result

アクセス制御ポリシーにヒットするトラフィックに対するアクション。 有効な値:

  • pass: 許可

  • alert: モニター

  • drop: 拒否

侵入防止ポリシーにヒットするトラフィックに対するアクション。 有効な値:

  • alert: トラフィックのアラートを生成します。

  • drop: トラフィックをブロックします。

アラート

rule_source

トラフィックがヒットするポリシーのソース。 有効な値:

  • basic_acl: アクセス制御

  • dns_acl_rule: DNSファイアウォール用に設定されたアクセス制御ポリシー

  • intelligence: 脅威インテリジェンス

  • ips_basic_rule: 基本的な保護

  • virtual_patch: 仮想パッチ

  • 不明

basic_acl

src_ip

トラフィックの送信元IPアドレス。

167.94.XX.XX

src_network_instance_id

トラフィックの送信元ネットワークインスタンス。

vpc-bp18ina819injc9zs ****

src_port

トラフィックの送信元ポート。 送信元ポートは、トラフィックの送信元のホストのポートです。

47915

src_region

トラフィックのソースリージョン。

cn-beijing

src_vpc_id

トラフィックのソースVPCのID。

vpc-bp18ina819injc9zs ****

start_time

セッションが開始される時刻。 この値は UNIX タイムスタンプです。 単位は秒です。

1701759171

start_time_min

セッションの開始時刻。 値は分単位です。 この値は UNIX タイムスタンプです。 単位は秒です。

1701759120

tcp_seq

TCPシリアル番号。

388367 ****

total_bps

インバウンドトラフィックとアウトバウンドトラフィックの合計データ伝送速度。 単位:bit/s。

42

total_packet_bytes

インバウンドトラフィックとアウトバウンドトラフィックの合計パケットスループット。 単位: バイト

58

total_packet_count

インバウンドトラフィックとアウトバウンドトラフィックの合計パケット数。

1

total_pps

インバウンドトラフィックとアウトバウンドトラフィックの平均データ伝送速度。 単位: 1秒あたりのパケット数。

説明

データ転送速度が1未満の場合、このフィールドの値は0として表示され、小数点以下の桁は表示されません。

0

url

サーバーがアクセスするWebサイトのURL。

説明

このフィールドの値は、app_nameの値がHTTPの場合にのみ表示されます。

http://aliyundoc.com/index.html

vul_level

悪意のあるトラフィックによって悪用される脆弱性のリスクレベル。 有効な値:

  • 0: 脆弱性は悪用されません。

  • 1: 低リスクの脆弱性。

  • 2: 中リスクの脆弱性。

  • 3: リスクの高い脆弱性。

1

次に何をすべきか

  • Cloud Firewallのログ分析機能を有効にできます。 詳細については、「ログ分析機能の有効化」をご参照ください。

  • 収集したログをリアルタイムで照会および分析して、トラフィックの例外を監視し、アセットを保護できます。 ログのクエリ方法の詳細については、「ログのクエリと分析」をご参照ください。

  • ログクエリと分析の結果をコンピューターにエクスポートしたり、結果をOSS (Object Storage Service) に配信して保存したりできます。 詳細については、「ログのエクスポート」をご参照ください。