このトピックでは、Web Application Firewall (WAF) でサポートされるログフィールドについて説明します。
フィールド取得のためのテーブル
次の表に、WAFでサポートされているログフィールドを示します。 フィールドの名前を使用して、表示するフィールドを取得できます。
必須フィールド
必須フィールドは、WAFログに含める必要があるフィールドを参照します。
項目 | 説明 | 例 |
acl_rule_type | 一致したルールのタイプ。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。 有効な値:
| custom |
bypass_matched_ids | クライアント要求を許可する一致したルールのID。 ルールは、ホワイトリストまたはカスタム保護ポリシーモジュール用に作成されます。 リクエストを許可する複数のルールが一度に一致する場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。 | 283531 |
cc_rule_type | 一致したルールのタイプ。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。 有効な値:
| custom |
content_type | リクエストコンテンツのタイプ。 | application/x-www-form-urlencoded |
dst_port | 宛先ポート。 | 443 |
final_action | リクエストに対してWAFによって実行される最後のアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。 要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 ブロック (block) 、厳密なスライダーCAPTCHA検証 (captcha_strict) 、一般的なスライダーCAPTCHA検証 (captcha) 、動的トークン認証 (sigchl) 、およびJavaScript検証 (js) のアクションが優先度の高い順にリストされます。 | block |
final_plugin | リクエストに対して実行される最終アクションに基づいた保護モジュール。 final_actionフィールドは、実行される最終アクションを記録する。 有効な値:
上記の保護モジュールを設定するには、WAFコンソールにログインし、左側のナビゲーションウィンドウで を選択します。 WAFの保護モジュールの詳細については、「概要」をご参照ください。 要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。 要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 final_actionフィールドは、実行された最後のアクションを記録します。 | waf |
final_rule_id | 最終的なアクションが実行されるルールのID。 final_actionフィールドは、実行された最後のアクションを記録します。 | 115341 |
final_rule_type | 最終的なアクションの実行に基づくルールのサブタイプ。 final_rule_idフィールドは、ルールを記録する。 たとえば、 | xss/webshell |
ホスト | 要求されたドメイン名またはIPアドレスを含むリクエストヘッダーのHostフィールド。 | api.example.com |
http_cookie | クライアントのCookie情報を含むリクエストヘッダーのcookieフィールド。 | k1=v1;k2=v2 |
http_referer | リクエストのソースURLに関する情報を含むリクエストヘッダーのRefererフィールド。 リクエストにソースURL情報が含まれていない場合、このフィールドの値はハイフン ( | http://example.com |
http_user_agent | ブラウザとオペレーティングシステムに関する情報を含むリクエストヘッダーのUser-Agentフィールド。 | Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK) |
http_x_forward_for | リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたはロードバランサーを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。 | 47.100.XX.XX |
https | リクエストが HTTPS リクエストであるかどうかを示します。
| on |
一致した_host | WAFに追加された一致したドメイン名。 説明 ドメイン名は、完全一致ドメイン名またはワイルドカードドメイン名にすることができます。 たとえば、* .aliyun.comドメイン名がWAFに追加され、d www.aliyun.comが要求された場合、* .aliyun.comドメイン名が一致する可能性があります。 | *.aliyun.com |
real_client_ip | リクエストを送信するクライアントの送信元IPアドレス。 WAFはリクエストを分析してIPアドレスを特定します。 WAFがクライアントの送信元IPアドレスを識別できない場合、このフィールドの値はハイフン ( | 192.0.XX.XX |
request_length | リクエスト行、リクエストヘッダー、リクエスト本文のバイトを含む、リクエストのバイト数。 単位はバイトです。 | 111111 |
request_method | リクエスト方式。 | GET |
request_time_msec | WAFがリクエストを処理するのにかかる時間。 単位:ミリ秒。 | 44 |
request_traceid | WAFがクライアント要求に対して生成する一意の識別子。 | 7837b11715410386943437009ea1f0 |
request_uri | リクエストパスとリクエストパラメーター。 | /news/search.php?id=1 |
server_protocol | クライアントとWAF間の接続に使用されるプロトコル。 | HTTP/1.1 |
status | WAFからクライアントへの応答に含まれるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。 | 200 |
src_port | WAFへの接続に使用されるポート。 WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。 | 80 |
src_ip | WAFへの接続に使用されるIPアドレス。 WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。 | 198.51.XX.XX |
start_time | リクエストが送信された時刻。 単位は秒です。 | 1696534058 |
時間 | リクエストが送信された時刻。 時間は | 2018-05-02T16:03:59+08:00 |
upstream_addr | オリジンサーバーのIPアドレスとポート。 形式は | 198.51.XX.XX:443 |
upstream_response_time | 配信元サーバーがWAFによって転送された要求に応答し、WAFが応答をクライアントに転送するのに必要な合計時間。 単位は秒です。 | 0.044 |
upstream_status | WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。 | 200 |
オプションフィールド
ビジネス要件に基づいて、WAFログにオプションのフィールドを含めることができます。 WAFログには、有効にしたオプションフィールドのみが記録されます。
オプションのフィールドを有効にすると、WAFログはより多くのストレージ容量を占有します。 十分なログストレージ容量がある場合は、追加のオプションフィールドを有効にすることを推奨します。 これにより、ログ分析をより包括的に実行できます。 オプションフィールドの設定方法の詳細については、「ログ設定の変更」をご参照ください。
項目 | 説明 | 例 |
account_action | アカウントのセキュリティルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
account_rule_id | 一致したアカウントセキュリティルールのID。 | 151235 |
account_test | アカウントのセキュリティルールに基づいてクライアント要求に使用される保護モード。 有効な値:
| false |
acl_アクション | IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
acl_rule_id | 一致したルールの ID。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。 | 151235 |
acl_test | IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
algorithm_action | 典型的なボット動作識別モジュールのために作成されたルールに基づいてクライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
algorithm_rule_id | 一致したルールの ID。 ルールは、典型的なボット動作識別モジュールのために作成される。 | 151235 |
algorithm_test | 一般的なボット動作識別モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
不正防止_アクション | データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
antifraud_test | データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
antiscan_アクション | スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
antiscan_rule_id | 一致したルールの ID。 ルールはスキャン保護モジュール用に作成されます。 | 151235 |
antiscan_rule_type | 一致したルールのタイプ。 ルールはスキャン保護モジュール用に作成されます。 有効な値:
| highfreq |
antiscan_test | スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
ブロック_アクション | 重要 WAFのアップグレードにより、このフィールドは無効になりました。 このフィールドは、final_pluginフィールドに置き換えられます。 サービスでblock_actionフィールドが使用されている場合は、できるだけ早くfinal_pluginフィールドに置き換えます。 リクエストをブロックするためにトリガーされるWAF保護モジュール。 有効な値:
| waf |
body_bytes_sent | サーバーからクライアントに返されるバイト数 (レスポンスヘッダーのバイト数を除く) 。 単位はバイトです。 | 1111 |
cc_アクション | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
cc_rule_id | 一致したルールの ID。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。 | 151234 |
cc_test | HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
deeplearning_action | 深層学習エンジンモジュール用に作成されたルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
deeplearning_rule_id | 一致したルールの ID。 ルールは、深層学習エンジンモジュール用に作成されます。 | 151238 |
deeplearning_rule_型 | 一致したルールのタイプ。 ルールは、深層学習エンジンモジュール用に作成されます。 有効な値:
| xss |
deeplearning_test | 深層学習エンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
dlp_アクション | データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | マスク |
dlp_rule_id | 一致したルールの ID。 データ漏えい防止モジュールのルールを作成します。 | 151245 |
dlp_test | データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
インテリジェンス_アクション | ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
intelligence_rule_id | 一致したルールの ID。 ルールは、ボット脅威インテリジェンスモジュール用に作成されます。 | 152234 |
インテリジェンス_テスト | ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
正規化された_アクション | 肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
normalized_rule_id | 一致したルールの ID。 ルールは、正のセキュリティモデルモジュールに対して作成される。 | 151266 |
normalized_rule_type | 一致したルールのタイプ。 ルールは、正のセキュリティモデルモジュールに対して作成される。 有効な値:
| User-Agent |
normalized_test | 肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
| false |
querystring | リクエスト内の照会文字列。 クエリ文字列は、リクエストURLの疑問符 (?) の後に続きます。 | title=tm_content%3Darticle&pid=123 |
region | WAFインスタンスが存在するリージョン。 有効な値:
| cn |
remote_addr | WAFへの接続に使用されるIPアドレス。 WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。 | 198.51.XX.XX |
remote_port | WAFへの接続に使用されるポート。 WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。 | 80 |
request_body | リクエスト本文。 | 私は暗号化されているかどうかにかかわらず、リクエストボディです! |
request_path | 要求される相対パス。 相対パスは、リクエストURLのドメイン名と疑問符 (?) の間の部分です。 相対パスにはクエリ文字列は含まれません。 | /news/search.php |
scene_action | シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
scene_id | 一致したルールのシナリオID。 ルールは、シナリオ固有の構成モジュールのために作成される。 | 151235 |
scene_rule_id | 一致したルールの ID。 ルールは、シナリオ固有の構成モジュールのために作成される。 | 153678 |
scene_rule_type | 一致したルールのタイプ。 ルールは、シナリオ固有の構成モジュールのために作成される。 有効な値:
| bot_aialgo |
sigchl_invalid_type | 動的トークン認証ルールに基づいてリクエストが異常と見なされる理由。 有効な値:
| sigchl_invalid_sig |
scene_test | シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
| false |
server_port | 要求されたWAFポート。 | 443 |
ssl_cipher | クライアントによって使用される暗号スイート。 | ECDHE-RSA-AES128-GCM-SHA256 |
ssl_protocol | クライアントが使用するSSLまたはTLSプロトコルのバージョン。 | TLSv1.2 |
ua_ブラウザ | リクエストを開始するブラウザの名前。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | ie9 |
ua_browser_ファミリー | ブラウザが属するファミリ。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | internet explorer |
ua_browser_type | リクエストを開始するブラウザーのタイプ。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | web_browser |
ua_browser_version | リクエストを開始するブラウザのバージョン。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | 9.0 |
ua_device_type | リクエストを開始するクライアントのデバイスタイプ。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | computer |
ua_os | 要求を開始するクライアントのオペレーティングシステム。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | windows_7 |
ua_os_ファミリー | クライアントのオペレーティングシステムが属するファミリ。 重要 2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。 | windows |
ユーザー_id | WAFインスタンスが属するAlibaba CloudアカウントのID。 | 17045741 ******** |
waf_action | 保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
waf_rule_id | 一致したルールの ID。 ルールは、保護ルールエンジンモジュールのために作成される。 | 113406 |
waf_rule_type | 一致したルールのタイプ。 ルールは、保護ルールエンジンモジュールのために作成される。 有効な値:
| xss |
waf_test | 保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |
wxbb_アクション | アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:
WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。 | block |
wxbb_invalid_wua | アプリ保護モジュール用に作成されたルールに基づいて、リクエストが異常と見なされる理由。 有効な値:
| wxbb_invalid_sign |
wxbb_rule_id | 一致したルールの ID。 アプリ保護モジュールのルールが作成されます。 | 156789 |
wxbb_test | アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:
| false |