Simple Log Service:ログのフィールド

初期

フィールド

a

• カスタムルールに関連するフィールド: acl_action | acl_rule_id | acl_rule_type | acl_test

• スキャン保護に関連するフィールド: antiscan_action | antiscan_rule_id | antiscan_rule_type | antiscan_test

b

• クライアントに返されるバイト数を記録するために使用されるフィールド: body_bytes_sent

  重要

  body_bytes_sentフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

• リクエストを許可するルールのIDを記録するために使用されるフィールド: bypass_matched_IDs

c

• HTTPフラッド保護に関連するフィールド: cc_action | cc_rule_id | cc_rule_type | cc_test

• 要求されたコンテンツのタイプを記録するために使用されるフィールド: content_type

• プロトコルコンプライアンス違反攻撃に関連するフィールド: compliance_hit

d

データ漏洩防止に関連するフィールド: dlp_action | dlp_rule_id | dlp_test

f

リクエストに対してWAFによって実行されるアクションに関連するフィールド: final_action | final_plugin | final_rule_id | final_rule_type

h

• リクエストヘッダーに関連するフィールド: host | http_cookie | http_referer | http_user_agent | http_x_forward_for

• HTTPSリクエストに関連するフィールド: https

m

• 一致する保護されたオブジェクトを記録するために使用されるフィールド: matched_host

• メジャーイベント保護に関連するフィールド: major_protection_action | major_protection_rule_id | major_protection_rule_type | major_protection_test

q

クエリ文字列の記録に使用するフィールド: querystring

r

• クライアントの送信元IPアドレスを記録するために使用されるフィールド: real_client_ip

• インスタンスのリージョンIDを記録するために使用されるフィールド: region

• 応答に関連するフィールド: response_set_cookie | response_header | response_info

  重要

  response_set_cookie、response_header、およびresponse_infoフィールドは、Application Load Balancer (ALB) インスタンス、Microservices Engine (MSE) インスタンス、およびFunction Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

• WAFに接続されているIPアドレスとポートを記録するために使用されるフィールド: remote_addr | remote_port

• リクエストに関連するフィールド: request_body | request_header | request_length | request_method | request_path | request_time_msec | request_traceid

  重要

  request_headerフィールドは、Function ComputeのwebアプリケーションにバインドされたALBインスタンス、MSEインスタンス、およびカスタムドメイン名ではサポートされていません。

秒

• 要求されたポートを記録するために使用されるフィールド: server_port

  重要

  server_portフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

• back-to-originリクエストに応答するためにオリジンサーバーによって使用されるプロトコルとバージョンを記録するために使用されるフィールド: server_protocol

  重要

  server_protocolフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

• 暗号スイートとTransport Layer Security (TLS) プロトコルのバージョンを記録するために使用されるフィールド: ssl_cipher | ssl_protocol

• HTTPステータスコードの記録に使用されるフィールド: status

• ボット管理に関連するフィールド: scene_action | scene_id | scene_rule_id | scene_rule_type | scene_test

• セマンティック分析攻撃に関連するフィールド: sema_hit

t

リクエストが開始された時刻を記録するために使用されるフィールド: time

u

• back-to-originリクエストへの応答に関連するフィールド: upstream_addr | upstream_response_time | upstream_status

  重要

  upstream_addrフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

• Alibaba CloudアカウントのIDを記録するために使用されるフィールド: user_id

w

• 基本的な保護ルールに関連するフィールド: waf_action | waf_rule_id | waf_rule_type | waf_test

• 基本的な保護ルールに一致する攻撃に関連するフィールド: waf_hit

フィールド

説明

例

bypass_matched_ids

リクエストを許可する一致したルールのID。 ルールは、ホワイトリストルールまたはカスタム保護ルールにすることができます。

リクエストを許可するために複数のルールが同時に一致する場合、フィールドにはルールのすべてのIDが記録されます。 複数のIDはコンマ (,) で区切ります。

283531

content_type

要求されたコンテンツのタイプ。

application/x-www-form-urlencoded

final_action

リクエストに対してWAFによって実行されるアクション。 有効な値：

• block: blocking。

• captcha_strict: 厳密なスライダーCAPTCHA検証。

• captcha: 一般的なスライダーCAPTCHA検証。

• js: JavaScriptの検証。

リクエストに対してWAFによって実行されるアクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

要求が保護モジュールをトリガしない場合、フィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。

要求が複数の保護モジュールを同時にトリガーする場合、フィールドが記録されます。 フィールドには、実行されるアクションのみが含まれます。 次のアクションは、優先度の高い順にリストされます。ブロック (block) 、厳密なスライダーCAPTCHA検証 (captcha_strict) 、一般的なスライダーCAPTCHA検証 (captcha) 、およびJavaScript検証 (js) 。

block

final_plugin

リクエストに対してアクションが実行される基になる保護モジュール。 final_actionフィールドは、実行されたアクションを記録する。 有効な値：

• waf: 基本的な保護ルールモジュール。

• acl: IPアドレスブラックリストルールモジュールまたはカスタムルール (アクセス制御) モジュール。

• cc: カスタムルール (スロットリング) モジュール。

• antiscan: スキャン保護モジュール。

要求が保護モジュールをトリガしない場合、フィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。

要求が複数の保護モジュールを同時にトリガーする場合、フィールドには、最終アクションが実行される基になった保護モジュールのみが記録されます。 final_actionフィールドは、実行されたアクションを記録します。

waf

final_rule_id

最終的なアクションが実行されるルールのID。 final_actionフィールドは、実行されたアクションを記録します。

115341

final_rule_type

最終的なアクションの実行に基づくルールのサブタイプ。 final_rule_idフィールドは、ルールを記録する。

たとえば、final_plugin:wafはfinal_rule_type:sqliとfinal_rule_type:xssをサポートしています。

xss/webShell

ホスト

要求されたドメイン名またはIPアドレスを含むリクエストヘッダーのHostフィールド。 このフィールドの値は、サービス設定によって異なります。

api.example.com

http_cookie

リクエストに関連付けられているCookieに関する情報を含むリクエストヘッダーのCookieフィールド。

k1=v1;k2=v2

http_referer

リクエストのソースURLに関する情報を含むリクエストヘッダーのRefererフィールド。

ソースURL情報が含まれていない場合、フィールドの値はハイフン (-) で表示されます。

http://example.com

http_user_agent

ブラウザとオペレーティングシステムに関する情報を含むリクエストヘッダーのUser-Agentフィールド。

Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK)

http_x_forward_for

リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたは負荷分散デバイスを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。

47.100.XX.XX

https

リクエストが HTTPS リクエストであるかどうかを示します。

• onの値はHTTPSリクエストを示します。

• フィールドが空の場合、リクエストはHTTPリクエストです。

on

一致した_host

要求された保護オブジェクト。 保護対象オブジェクトは、インスタンスまたはドメイン名にすることができます。

*.aliyundoc.com

querystring

リクエスト内の照会文字列。 クエリ文字列は、リクエストURLの末尾に追加されるデータの文字列です。 クエリ文字列は、疑問符 (?) によってリクエストURLから分離されています。

title=tm_content%3Darticle&pid=123

real_client_ip

リクエストを送信するクライアントの送信元IPアドレス。 WAFは、リクエスト分析に基づいてIPアドレスを識別します。

プロキシサーバーが使用されている場合やリクエストヘッダーのIPフィールドが無効な場合など、WAFがクライアントの送信元IPアドレスを識別できない場合、フィールドの値はハイフン (-) で表示されます。

192.0.XX.XX

region

WAFインスタンスがデプロイされているリージョンのID。 有効な値：

• cn: 中国本土

• int: 中国本土の外。

cn

remote_addr

WAFへの接続に使用されるIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

remote_port

WAFへの接続に使用されるポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

request_length

リクエスト行、リクエストヘッダー、リクエスト本文のバイトを含む、リクエストのバイト数。 単位：バイト

111111

request_method

リクエスト方式。

GET

request_path

要求された相対パス。 相対パスは、リクエストURLのドメイン名と疑問符 (?) の間の部分を参照します。 相対パスにはクエリ文字列は含まれません。

/news/search.php

request_time_msec

WAFがリクエストを処理するのにかかる時間。 単位：ミリ秒。

44

request_traceid

クライアント要求に対してWAFによって生成される一意の識別子。

7837b11715410386943437009ea1f0

server_protocol

WAFによって転送された要求に応答するためにオリジンサーバーによって使用されるプロトコルとバージョン。

HTTP/1.1

ssl_cipher

クライアントによって使用される暗号スイート。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

リクエストで使用されるSSLまたはTLSプロトコルとバージョン。

TLSv1.2

status

WAFからクライアントへの応答に含まれるHTTPステータスコード。 例: HTTPステータスコード200は、リクエストが受信され、受け入れられたことを示します。

200

時間

リクエストが開始された時点。 時刻はyyyy-MM-ddTHH:mm:ss + 08:00形式のISO 8601標準に従います。

2018-05-02T16:03:59+08:00

upstream_addr

オリジンサーバーのIPアドレスとポート番号。 形式はIP:Portです。 IPアドレスとポート番号の複数のペアは、コンマ (,) で区切ります。

198.51.XX.XX:443

upstream_response_time

WAFによって転送されたリクエストに配信元サーバーが応答するのに必要な時間。 単位は秒です。

0.044

upstream_status

WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。 例: HTTPステータスコード200は、リクエストが受信され、受け入れられたことを示します。

200

ユーザー_id

WAFインスタンスが属するAlibaba CloudアカウントのID。

17045741 ********

フィールド

説明

例

acl_アクション

IPアドレスブラックリストルールまたはカスタムアクセス制御ルールに基づいてリクエストに対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• js: JavaScriptの検証が実行されます。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントから送信されたリクエストを許可します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

acl_rule_id

一致するIPアドレスブラックリストルールまたはカスタムアクセス制御ルールのID。

151235

acl_rule_type

一致するIPアドレスブラックリストルールまたはカスタムアクセス制御ルールのタイプ。 有効な値：

• custom: カスタムアクセス制御ルールが一致します。

• blacklist: IPアドレスブラックリストルールが一致しています。

custom

acl_test

IPアドレスブラックリストルールまたはカスタムアクセス制御ルールに基づいて、リクエストに使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

false

antiscan_アクション

スキャン保護ルールに基づいてリクエストに対して実行されるアクション。 フィールドの値はblockに固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

antiscan_rule_id

一致するスキャン保護ルールのID。

151235

antiscan_rule_type

一致するスキャン保護ルールのタイプ。 有効な値：

• highfreq: スキャン攻撃が頻繁に開始されるIPアドレスをブロックするルール。

• dirscan: ディレクトリトラバーサル攻撃から防御するために使用されるルール。

• scantools: スキャナーのIPアドレスをブロックするルール。

highfreq

antiscan_test

スキャン保護ルールに基づいてリクエストに使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

false

body_bytes_sent

サーバーがクライアントに返すレスポンス本文のバイト数。 レスポンスヘッダのバイト数はカウントされません。 単位：バイト

1111

cc_アクション

リクエストに対して実行されるアクションは、カスタムスロットルルールに基づいています。 有効な値：

• block: リクエストはブロックされています。

• js: JavaScriptの検証が実行されます。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントから送信されたリクエストを許可します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

cc_rule_id

一致するカスタムスロットリングルールのID。

151234

cc_rule_type

一致するルールの種類。The type of the rule that is matched. フィールドの値はcustomに固定されています。これは、カスタムスロットリングルールが一致することを示します。

custom

cc_test

リクエストに対して使用される保護モードは、カスタムスロットルルールに基づいています。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

false

request_body

リクエスト本文。 値のサイズは最大8 KBです。

test123curl -ki https:// automated-acltest02。***.top/ -automated-acltest02を解決します。***.top:443:39.107.XX.XX

request_header

カスタム要求ヘッダー。 このフィールドを有効にする場合は、リクエストヘッダーを指定する必要があります。 最大5つのカスタムリクエストヘッダーを追加できます。 複数のリクエストヘッダーはコンマ (,) で区切ります。

{"ttt":"abcd"}

server_port

要求された宛先ポート。

443

waf_action

基本的な保護ルールに基づいてリクエストに対して実行されるアクション。 フィールドの値はblockに固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

waf_rule_id

一致する基本保護ルールのID。

113406

waf_rule_type

一致する基本保護ルールのタイプ。 有効な値：

• xss: クロスサイトスクリプティング (XSS) 攻撃に対して防御するルール。

• code_exec: コード実行の脆弱性を悪用する攻撃に対して防御するルール。

• webshell: webshellのアップロードに対して防御するルール。

• sqli: SQLインジェクション攻撃から防御するルール。

• lfilei: ローカルファイルの包含を防ぐルール。

• rfilei: リモートファイルの包含を防ぐルール。

• other: other protection rules.

xss

waf_test

基本的な保護ルールに基づいてリクエストに使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

false

major_protection_アクション

メジャーイベント保護テンプレートに基づいてリクエストに対して実行されるアクション。 WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

major_protection_rule_id

一致するメジャーイベント保護ルールのID。

2221

major_protection_rule_型

一致するメジャーイベント保護ルールのタイプ。 有効な値：

• waf_blocks: メジャーイベント保護のためのルールグループ内のルール。

• threat_intelligence: 主要なイベント保護のための脅威インテリジェンスルール。

• blacklist: 主要なイベント保護のためのIPアドレスブラックリストルール。

• shiro: shiro逆シリアル化脆弱性防止ルール。

waf_blocks

major_protection_test

メジャーイベント保護ルールに基づいて使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

true

response_set_cookie

サーバーからクライアントに送信されるcookie。

acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800

response_header

すべてのレスポンスヘッダー。

{"transfer-encoding":"chunked" 、"set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800" 、"content-type":"text\/html;charset=utf-8" 、"x-powered-by":"PHP\/7.2.24" 、"server":"nginx\/1.18.0" "connection":"close"}

response_info

レスポンス本文。 値のサイズは最大16 KBです。 content-encodingヘッダーがgzipの場合、レスポンスボディはBase64でエンコードされます。

$_POST Received:<br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA] Received:<br/> <hr/> php:// input Received: ***

dlp_アクション

データ漏洩防止ルールに基づいてリクエストに対して実行されるアクション。 有効な値：

• monitor: リクエストが監視されます。

• block: リクエストはブロックされています。

• filter: リクエストはマスクされています。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

dlp_rule_id

一致するデータ漏洩防止ルールのID。

20031483

dlp_test

データ漏洩防止ルールに基づいてリクエストに使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

true

scene_action

ボット管理ルールに基づいてリクエストに対して実行されるアクション。 有効な値：

• js: JavaScriptの検証が実行されます。

• sigchl: 動的トークン認証を実行します。

• block: リクエストはブロックされています。

• monitor: リクエストが監視されます。

• bypass: リクエストは許可されています。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

js

scene_id

一致するボット管理ルールのシナリオID。

a82d992b_bc8c_47f0_87ce_******

scene_rule_id

一致するボット管理ルールのID。

js-a82d992b_bc8c_47f0_87ce_******

scene_rule_type

一致するボット管理ルールのタイプ。 有効な値：

• bot_aialgo: インテリジェントな保護ルール。

• cc: カスタム調整ルール。

• インテリジェンス: 脅威インテリジェンスルール。

• js: 単純なJavaScriptルール。

• sigchl: 動的トークン認証ルール。

• sdk: SDK署名とデバイスデータ収集のルール、または二次パッケージング検出のルール。

bot_aialgo

scene_test

ボット管理ルールに基づいてリクエストに使用される保護モード。 有効な値：

• true: 監視モードを示します。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モードを示します。 このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。

true

waf_hit

基本的な保護ルールに一致するコンテンツ。

{"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j =${ jndi:ldap://"}}

コンプライアンス_ヒット

プロトコルコンプライアンス違反攻撃に一致するコンテンツ。

********** 7df271da040a

セマ_ヒット

セマンティック分析攻撃に一致するコンテンツ。

{"queryarg_values":{"hit":["\" fro m mysql.us er "]," raw ":" queryarg.y=\"fro m mysql.us er"}}

保護アクション

説明

block

リクエストがブロックされました。 WAFはクライアント要求をブロックし、HTTPエラーコード405をクライアントに返します。

captcha_strict

厳密なスライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが厳密なスライダーCAPTCHA検証に合格した場合、WAFはクライアントからの要求を許可します。 それ以外の場合、WAFはリクエストをブロックします。 クライアントがリクエストを送信するたびに、クライアントは厳密なスライダーCAPTCHA検証に合格する必要があります。

captcha

共通スライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが共通スライダーCAPTCHA検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

js

JavaScriptの検証が実行されます。 WAFはJavaScriptコードをクライアントに返します。 JavaScriptコードは、クライアントが使用するブラウザによって自動的に実行されます。 クライアントがJavaScript検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

パスとバイパス

リクエストは許可されています。 WAFは、クライアントから送信されたリクエストを許可し、リクエストを配信元サーバーに転送します。

js_pass

クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

sigchl

動的トークン認証が実行され、webリクエストが署名されます。 クライアントがリクエストを送信すると、WAFによって発行されたWeb SDKがリクエストの署名を生成します。 署名は、リクエストと共にオリジンサーバーに転送されます。 署名が生成されて検証された場合、リクエストはオリジンサーバーに転送されます。 署名の生成または検証に失敗した場合、動的トークンを取得するために使用できるコードブロックがクライアントに返され、要求に再署名する必要があります。

モニター

リクエストが監視されます。 WAFは、ルールに一致するリクエストをログに記録しますが、リクエストはブロックしません。