すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:一般的な監視メトリック

    ドキュメントセンター

    Web Application Firewall:一般的な監視メトリック

    最終更新日:Jun 04, 2024

    このトピックでは、Log Service for WAFによって収集されたログのクエリと分析に使用できる一般的なメトリックについて説明します。 これらのメトリックを使用して、必要に応じてワークロードのアラートを設定し、例外を監視できます。 また、メトリックの推奨アラートしきい値、およびメトリック例外の処理に関する提案も提供します。

    メトリック

    説明

    推奨しきい値

    提案

    status:200

    サーバーはリクエストを処理し、リクエストされたデータを返しました。

    ワークロードを初期化する前に、ステータスコード 200 のアラートしきい値を 90% に設定してください。 必要に応じてしきい値を調整できます。

    コード 200 の割合が、指定されたしきい値より低い場合は、理由を特定してください。 たとえば、別のステータスコードの割合が増加したためです。

    request_time_msec

    クライアントがリクエストを送信してからクライアントがレスポンスを受信するまでの時間。

    実際のサービスリクエストに必要な時間に基づいてアラートしきい値を設定してください。

    ドメイン名からの応答の受信に時間がかかる場合は、クライアントと WAF 間のネットワーク接続、および WAF とオリジンサーバー間のネットワーク接続を確認し、オリジンサーバーが正しく応答することを確認してください。

    upstream_response_time

    WAF がデータをオリジンサーバーに送信してから、WAF がオリジンサーバーからレスポンスを受信するまでの時間。

    ssl_handshake_time

    HTTPS リクエスト中のクライアントと WAF との間の SSL ハンドシェイクに必要な時間。

    status:302 and block_action:tmd/status:200 and block_action:tmd

    ステータスコードは、CAPTCHA がトリガーされているかどうかを示します。 コード302はCAPTCHAがトリガーされたことを示し、コード200はCAPTCHAがトリガーされず、HTTPフラッド保護がトリガーされたことを示します。

    ワークロードを初期化するときは、ステータスコードの割合のアラートしきい値を5% から10% の値に設定することを推奨します。 WAFによってブロックされたトラフィックに基づいてしきい値を調整できます。

    • アラートのしきい値に達した場合は、ドメイン名がHTTPフラッド攻撃を受けているかどうかを確認し、攻撃をブロックするルールをカスタマイズします。

    • 多数の5xxステータスコードまたは4xxステータスコードなどのサーバー例外を確認します。

    ステータス: 200とblock_action: antiflude

    リクエストは、データリスク管理によってブロックされます。

    適用する前にアラートルールをテストしてください。 このアラートを頻繁に受信する場合は、Alibaba Cloud R&Dチームに連絡してアラートのしきい値を調整してください。

    status:404

    サーバーは、リクエストされたリソースを見つけられませんでした。

    アラートをトリガーするソース IP アドレスを照会します。

    • 1 つの IP アドレスのみがアラートをトリガーする場合、悪意のあるユーザーがサーバー上でパストラバーサルを開始した可能性があります。

    • 複数の IP アドレスがアラートをトリガーする場合は、サーバーが正常に動作しているかどうか、およびファイルが不足していないかどうかを確認してください。

    status:405

    リクエストは、Web アプリケーション保護ルール、または HTTP ACL ポリシールールのいずれかによってブロックされます。

    ログ分析機能を使用して、ブロックされたリクエストとリクエストをブロックするために使用されるルールを分析し、これが偽陽性であるかどうかを確認します。

    status:444

    リクエストは、カスタム HTTP フラッド保護ルールによってブロックされます。

    • アラートのしきい値に達した場合は、ドメイン名がHTTPフラッド攻撃を受けているかどうかを確認し、攻撃をブロックするルールをカスタマイズします。

    • ブロックされたリクエストが攻撃ではなく API 呼び出しである場合は、しきい値を調整するか、指定されたサーバーでの API 呼び出しを許可できます。

    status:499

    クライアントがリクエストを送信した後、サーバーがデータを返しません。 クライアントの最大待機時間に達すると、クライアントは切断され、サーバーはこのステータスコードを返します。

    • データベースでの遅い応答や多数の遅いクエリなど、オリジンサーバーでの例外を確認します。

    • 攻撃がオリジンサーバーのすべてのリソースを消費したかどうかを確認してください。

    status:500

    500 Internal Server Error のため、リクエストを処理できません。

    オリジンサーバーの負荷とデータベースステータスを確認することを推奨します。

    status:502

    サーバーはゲートウェイまたはプロキシとして使用され、502 Bad Gateway エラーが原因で上流サーバーから無効なレスポンスを受信します。 オリジンサーバーは、back-to-origin ネットワークのパフォーマンスが低いか、back-to-origin リクエストがオリジンサーバーに設定されたアクセス制御ポリシーによってブロックされているため、応答しません。

    • back-to-origin ネットワークの品質、オリジンサーバーのアクセス制御ポリシー、およびオリジンサーバーの負荷とデータベースのステータスを確認してください。

    • オリジンサーバーがWAFのback-to-origin IPアドレスからのリクエストをブロックしているかどうかを確認します。

    status:503

    過負荷またはメンテナンスが必要なため、サービスは利用できません。

    オリジンサーバーで例外を確認してください。

    status:504

    サーバーはゲートウェイまたはプロキシとして機能しますが、アップストリームサーバーからの要求を時間内に受信できません。 504 Gateway Timeout エラーが発生しました。

    考えられる原因は次のとおりです。

    • 過負荷のため、サーバーが応答しません。

    • オリジンサーバーがリクエストを破棄した後、リセットしません。

    • プロトコルベースの通信が失敗します。