Web Application Firewall:WAFでサポートされるログフィールド

初期

項目

a

• アカウントに関連するフィールド: account_action | account_rule_id | account_test

• アクセス制御リスト (ACL) ルールに関連するフィールド: acl_action | acl_rule_id | acl_rule_type | acl_test

• アルゴリズムに関連するフィールド: algorithm_action | algorithm_rule_id | algorithm_test

• データリスク管理に関連するフィールド: antifruflax_action | antifruflax_test

• スキャン保護に関連するフィールド: antiscan_action | antiscan_rule_id | antiscan_rule_type | antiscan_test

b

• 保護タイプの記録に使用するフィールド: block_action

• レスポンス本文のバイト数を記録するために使用するフィールド: body_bytes_sent

• リクエストを許可するルールのIDを記録するために使用されるフィールド: bypass_matched_IDs

c

• HTTPフラッド保護に関連するフィールド: cc_action | cc_rule_id | cc_rule_type | cc_test

• コンテンツタイプの記録に使用するフィールド: content_type

d

• ディープラーニングに関連するフィールド: deeplearning_action | deeplearning_rule_id | deeplearning_rule_type | deeplearning_test

• データ漏洩防止に関連するフィールド: dlp_action | dlp_rule_id | dlp_test

• 宛先ポートの記録に使用するフィールド: dst_port

f

finalアクションに関連するフィールド: final_action | final_plugin | final_rule_id | final_rule_type

h

• Hostリクエストヘッダーの記録に使用するフィールド: host

• HTTPリクエストに関連するフィールド: http_cookie | http_referer | http_user_agent | http_x_forward_for | https

i

ボット脅威インテリジェンスに関連するフィールド: intelligence_action | intelligence_rule_id | intelligence_test

m

WAFに追加された一致したドメイン名を記録するために使用されるフィールド: matched_host

n

ポジティブなセキュリティモデルに関連するフィールド: normalized_action | normalized_rule_id | normalized_rule_type | normalized_test

q

クエリ文字列の記録に使用するフィールド: querystring

r

• クライアントの送信元IPアドレスを記録するために使用されるフィールド: real_client_ip

• インスタンスのリージョンIDを記録するために使用されるフィールド: region

• WAFとの接続を確立したクライアントに関連するフィールド: remote_addr | remote_port

• リクエストに関連するフィールド: request_body | request_length | request_method | request_path | request_time_msec | request_traceid | request_uri

秒

• シナリオ固有の設定に関連するフィールド: scene_action | scene_id | scene_rule_id | scene_rule_type | scene_test

• サーバーに関連するフィールド: server_port | server_protocol

• クライアントが使用するSSL設定に関連するフィールド: ssl_cipher | ssl_protocol

• HTTPステータスコードの記録に使用されるフィールド: status

• リクエスト例外の原因を記録するために使用されるフィールド: sigchl_invalid_type

• WAFへの接続に使用されるIPアドレスとポートの記録に使用されるフィールド: src_port | src_ip

• リクエストが開始された時刻を記録するために使用されるフィールド: start_time

t

リクエストが開始された時刻を記録するために使用されるフィールド: time

u

• ブラウザーに関連するフィールド: ua_browser | ua_browser_family | ua_browser_type | ua_browser_version

• クライアントデバイスタイプの記録に使用するフィールド: ua_device_type

• オペレーティングシステムに関連するフィールド: ua_os | ua_os_family

• オリジンサーバーに関連するフィールド: upstream_addr | upstream_response_time | upstream_status

• アカウントidの記録に使用するフィールド: user_id

w

• WAF保護に関連するフィールド: waf_action | waf_rule_id | waf_rule_type | waf_test

• アプリ保護に関連するフィールド: wxbb_action | wxbb_invalid_wua | wxbb_rule_id | wxbb_test

項目

説明

例

acl_rule_type

一致したルールのタイプ。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。 有効な値：

• custom: カスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルール

• blacklist: IPアドレスブラックリストモジュール用に作成されたルール

custom

bypass_matched_ids

クライアント要求を許可する一致したルールのID。 ルールは、ホワイトリストまたはカスタム保護ポリシーモジュール用に作成されます。

リクエストを許可する複数のルールが一度に一致する場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。

283531

cc_rule_type

一致したルールのタイプ。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。 有効な値：

• custom: カスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルール

• system: HTTPフラッド保護ポリシーモジュール用に作成されたルール

custom

content_type

リクエストコンテンツのタイプ。

application/x-www-form-urlencoded

dst_port

宛先ポート。

443

final_action

リクエストに対してWAFによって実行される最後のアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• sigchl: 動的トークン認証を実行します。

• js: JavaScriptの検証が実行されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 ブロック (block) 、厳密なスライダーCAPTCHA検証 (captcha_strict) 、一般的なスライダーCAPTCHA検証 (captcha) 、動的トークン認証 (sigchl) 、およびJavaScript検証 (js) のアクションが優先度の高い順にリストされます。

block

final_plugin

リクエストに対して実行される最終アクションに基づいた保護モジュール。 final_actionフィールドは、実行される最終アクションを記録する。 有効な値：

• waf: 保護ルールエンジンモジュール

• deeplearning: 深層学習エンジンモジュール

• dlp: データ漏洩防止モジュール

• account: アカウントセキュリティモジュール

• 正規化: 正のセキュリティモデルモジュール

• acl: IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール

• cc: HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール

• antiscan: スキャン保護モジュール

• scene: シナリオ固有の設定モジュール

• antiflude: データリスク管理モジュール

• インテリジェンス: ボット脅威インテリジェンスモジュール

• algorithm: 典型的なボット動作識別モジュール

• wxbb: アプリ保護モジュール

上記の保護モジュールを設定するには、WAFコンソールにログインし、左側のナビゲーションウィンドウで保護設定 > Webサイト保護を選択します。 WAFの保護モジュールの詳細については、「概要」をご参照ください。

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 final_actionフィールドは、実行された最後のアクションを記録します。

waf

final_rule_id

最終的なアクションが実行されるルールのID。 final_actionフィールドは、実行された最後のアクションを記録します。

115341

final_rule_type

最終的なアクションの実行に基づくルールのサブタイプ。 final_rule_idフィールドは、ルールを記録する。

たとえば、final_plugin:wafはfinal_rule_type:sqliとfinal_rule_type:xssをサポートしています。

xss/webshell

ホスト

要求されたドメイン名またはIPアドレスを含むリクエストヘッダーのHostフィールド。

api.example.com

http_cookie

クライアントのCookie情報を含むリクエストヘッダーのcookieフィールド。

k1=v1;k2=v2

http_referer

リクエストのソースURLに関する情報を含むリクエストヘッダーのRefererフィールド。

リクエストにソースURL情報が含まれていない場合、このフィールドの値はハイフン (-) で表示されます。

http://example.com

http_user_agent

ブラウザとオペレーティングシステムに関する情報を含むリクエストヘッダーのUser-Agentフィールド。

Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK)

http_x_forward_for

リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたはロードバランサーを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。

47.100.XX.XX

https

リクエストが HTTPS リクエストであるかどうかを示します。

• onの値は、リクエストがHTTPSリクエストであることを示します。

• フィールドが空の場合、リクエストはHTTPリクエストです。

on

一致した_host

WAFに追加された一致したドメイン名。

*.aliyun.com

real_client_ip

リクエストを送信するクライアントの送信元IPアドレス。 WAFはリクエストを分析してIPアドレスを特定します。

WAFがクライアントの送信元IPアドレスを識別できない場合、このフィールドの値はハイフン (-) で表示されます。 たとえば、プロキシサーバーが使用されている場合、またはリクエストヘッダーのIPフィールドが無効な場合、WAFはクライアントの送信元IPアドレスを識別できません。

192.0.XX.XX

request_length

リクエスト行、リクエストヘッダー、リクエスト本文のバイトを含む、リクエストのバイト数。 単位はバイトです。

111111

request_method

リクエスト方式。

GET

request_time_msec

WAFがリクエストを処理するのにかかる時間。 単位：ミリ秒。

44

request_traceid

WAFがクライアント要求に対して生成する一意の識別子。

7837b11715410386943437009ea1f0

request_uri

リクエストパスとリクエストパラメーター。

/news/search.php?id=1

server_protocol

クライアントとWAF間のプロトコル。

HTTP/1.1

status

WAFからクライアントへの応答に含まれるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

src_port

WAFへの接続に使用されるポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

src_ip

WAFへの接続に使用されるIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

start_time

リクエストが送信された時刻。 単位は秒です。

1696534058

時間

リクエストが送信された時刻。 時間はyyyy-MM-ddTHH:mm:ss + 08:00形式のISO 8601標準に従います。 時刻は UTC で表示されます。

2018-05-02T16:03:59+08:00

upstream_addr

オリジンサーバーのIPアドレスとポート。 形式はIP:Portです。 IPアドレスとポート番号の複数のペアは、コンマ (,) で区切ります。

198.51.XX.XX:443

upstream_response_time

配信元サーバーがWAFによって転送された要求に応答し、WAFが応答をクライアントに転送するのに必要な合計時間。 単位は秒です。

0.044

upstream_status

WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

項目

説明

例

account_action

アカウントのセキュリティルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

account_rule_id

一致したアカウントセキュリティルールのID。

151235

account_test

アカウントのセキュリティルールに基づいてクライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

acl_アクション

IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• js: JavaScriptの検証が実行されます。

• captcha_strict_pass: クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

• captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

acl_rule_id

一致したルールの ID。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。

151235

acl_test

IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

algorithm_action

典型的なボット動作識別モジュールのために作成されたルールに基づいてクライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• js: JavaScriptの検証が実行されます。

• captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

algorithm_rule_id

一致したルールの ID。 ルールは、典型的なボット動作識別モジュールのために作成される。

151235

algorithm_test

一般的なボット動作識別モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

不正防止_アクション

データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• pass: リクエストは許可されています。

• block: リクエストはブロックされています。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

antifraud_test

データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

antiscan_アクション

スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

antiscan_rule_id

一致したルールの ID。 ルールはスキャン保護モジュール用に作成されます。

151235

antiscan_rule_type

一致したルールのタイプ。 ルールはスキャン保護モジュール用に作成されます。 有効な値：

• highfreq: web攻撃が頻繁に開始されるIPアドレスをブロックするルール

• dirscan: ディレクトリトラバーサル攻撃から防御するルール

• scantools: スキャナーのIPアドレスをブロックするルール

• 共同: 共同防衛ルール

highfreq

antiscan_test

スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

ブロック_アクション

リクエストをブロックするためにトリガーされるWAF保護モジュール。 有効な値：

• tmd: HTTPフラッド保護モジュール。 この値は、final_pluginフィールドのcc値に相当します。

• waf: web攻撃保護モジュール。 この値は、final_pluginフィールドのwaf値に相当します。

• acl: カスタム保護ポリシーモジュール。 この値は、final_pluginフィールドのacl値に相当します。

• deeplearning: 深層学習エンジンモジュール。 この値は、final_pluginフィールドのdeeplearning値に相当します。

• antiscan: スキャン保護モジュール。 この値は、final_pluginフィールドのantiscan値に相当します。

• antifroud: データリスク管理モジュール。 この値は、final_pluginフィールドの不正防止値に相当します。

• antibot: ボット管理モジュール。 この値は、final_pluginフィールドのintelligence、algorithm、wxbb、およびscene値に相当します。

waf

body_bytes_sent

サーバーからクライアントに返されるバイト数 (レスポンスヘッダーのバイト数を除く) 。 単位はバイトです。

1111

cc_アクション

HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• js: JavaScriptの検証が実行されます。

• captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

cc_rule_id

一致したルールの ID。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。

151234

cc_test

HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

deeplearning_action

深層学習エンジンモジュール用に作成されたルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

deeplearning_rule_id

一致したルールの ID。 ルールは、深層学習エンジンモジュール用に作成されます。

151238

deeplearning_rule_型

一致したルールのタイプ。 ルールは、深層学習エンジンモジュール用に作成されます。 有効な値：

• xss: クロスサイトスクリプティング (XSS) 攻撃から防御するために使用されるルール

• code_exec: コード実行の脆弱性を悪用する攻撃から防御するために使用されるルール

• webshell: webshellのアップロードに対する防御に使用されるルール

• sqli: SQLインジェクション攻撃に対する防御に使用されるルール

• lfilei: ローカルファイルの包含を防ぐために使用されるルール

• rfilei: リモートファイルの包含を防ぐために使用されるルール

• other: other protection rules

xss

deeplearning_test

深層学習エンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

dlp_アクション

データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• mask: 機密データがマスクされます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

マスク

dlp_rule_id

一致したルールの ID。 データ漏えい防止モジュールのルールを作成します。

151245

dlp_test

データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

インテリジェンス_アクション

ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• js: JavaScriptの検証が実行されます。

• captcha_strict_pass: クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

• captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

intelligence_rule_id

一致したルールの ID。 ルールは、ボット脅威インテリジェンスモジュール用に作成されます。

152234

インテリジェンス_テスト

ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

正規化された_アクション

肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• continue: リクエストは許可されています。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

normalized_rule_id

一致したルールの ID。 ルールは、正のセキュリティモデルモジュールに対して作成される。

151266

normalized_rule_type

一致したルールのタイプ。 ルールは、正のセキュリティモデルモジュールに対して作成される。 有効な値：

• User-Agent: ユーザーエージェントベースのベースラインルール。 リクエストヘッダーのUser-Agentフィールドがベースラインに準拠していない場合、攻撃が発生する可能性があります。 この説明は、他のルールタイプに適用されます。

• リファラー: リファラーベースのベースラインルール。

• URL: URLベースのベースラインルール。

• Cookie: cookieベースのベースラインルール。

• Body: リクエストボディベースのベースラインルール。

User-Agent

normalized_test

肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

querystring

リクエスト内の照会文字列。 クエリ文字列は、リクエストURLの疑問符 (?) の後に続きます。

title=tm_content%3Darticle&pid=123

region

WAFインスタンスが存在するリージョン。 有効な値：

• cn: WAFインスタンスは中国本土にあります。

• int: WAFインスタンスは中国本土の外部にあります。

cn

remote_addr

WAFへの接続に使用されるIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

remote_port

WAFへの接続に使用されるポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

request_body

リクエスト本文。

私は暗号化されているかどうかにかかわらず、リクエストボディです!

request_path

要求される相対パス。 相対パスは、リクエストURLのドメイン名と疑問符 (?) の間の部分です。 相対パスにはクエリ文字列は含まれません。

/news/search.php

scene_action

シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: リクエストはブロックされています。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• sigchl: 動的トークン認証を実行します。

• js: JavaScriptの検証が実行されます。

• captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

• sigchL_pass: クライアントは動的トークン認証を渡し、WAFはクライアント要求を許可します。

• js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

scene_id

一致したルールのシナリオID。 ルールは、シナリオ固有の構成モジュールのために作成される。

151235

scene_rule_id

一致したルールの ID。 ルールは、シナリオ固有の構成モジュールのために作成される。

153678

scene_rule_type

一致したルールのタイプ。 ルールは、シナリオ固有の構成モジュールのために作成される。 有効な値：

• bot_aialgo: インテリジェントな保護ルール

• js: スクリプトベースのボットをブロックするルール

• インテリジェンス: ボットの脅威インテリジェンスまたはデータセンターのブラックリストに基づいて攻撃をブロックするルール

• sdk: SDK統合アプリの異常なシグネチャと異常なデバイス動作をチェックするルール

• cc: IPアドレスベースのスロットリングルールまたはカスタムセッションベースのスロットリングルール

• sigchl: 動的トークン認証ルール

bot_aialgo

sigchl_invalid_type

動的トークン認証ルールに基づいてリクエストが異常と見なされる理由。 有効な値：

• sigchl_invalid_sig: 署名の検証に失敗しました。 このエラーの一般的な原因を次に示します。

  • リクエストには署名が含まれていません。

  • 署名を追加するために渡されるパラメーターは、WAFが受け取るパラメーターとは異なります。

• sigchl_is_replay: 署名のタイムスタンプが異常です。 リプレイ攻撃が発生する可能性があります。

• sigchl_is_driver: リクエストはWebDriver攻撃リクエストと見なされます。

sigchl_invalid_sig

scene_test

シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

server_port

要求されたWAFポート。

443

ssl_cipher

クライアントによって使用される暗号スイート。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

クライアントが使用するSSLまたはTLSプロトコルのバージョン。

TLSv1.2

ua_ブラウザ

リクエストを開始するブラウザの名前。

ie9

ua_browser_ファミリー

ブラウザが属するファミリ。

internet explorer

ua_browser_type

リクエストを開始するブラウザーのタイプ。

web_browser

ua_browser_version

リクエストを開始するブラウザのバージョン。

9.0

ua_device_type

リクエストを開始するクライアントのデバイスタイプ。

computer

ua_os

要求を開始するクライアントのオペレーティングシステム。

windows_7

ua_os_ファミリー

クライアントのオペレーティングシステムが属するファミリ。

windows

ユーザー_id

WAFインスタンスが属するAlibaba CloudアカウントのID。

17045741 ********

waf_action

保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

waf_rule_id

一致したルールの ID。 ルールは、保護ルールエンジンモジュールのために作成される。

113406

waf_rule_type

一致したルールのタイプ。 ルールは、保護ルールエンジンモジュールのために作成される。 有効な値：

• xss: XSS攻撃に対する防御に使用されるルール

• code_exec: コード実行の脆弱性を悪用する攻撃から防御するために使用されるルール

• webshell: webshellのアップロードに対して防御するルール

• sqli: SQLインジェクション攻撃に対する防御に使用されるルール

• lfilei: ローカルファイルの包含を防ぐために使用されるルール

• rfilei: リモートファイルの包含を防ぐために使用されるルール

• other: other protection rules

xss

waf_test

保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

wxbb_アクション

アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値：

• block: 署名検証が失敗したため、リクエストはブロックされます。

• captcha: 共通スライダーCAPTCHA検証が実行されます。

• js: JavaScriptの検証が実行されます。

• continue: 署名検証に合格したため、リクエストは許可されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

wxbb_invalid_wua

アプリ保護モジュール用に作成されたルールに基づいて、リクエストが異常と見なされる理由。 有効な値：

• wxbb_simulator: シミュレータを使用します。

• wxbb_proxy: プロキシが使用されています。

• wxbb_root: ルート化されたデバイスが使用されます。

• wxbb_hook: フックが使用されます。

• wxbb_antireplay: wToken署名文字列が使用されます。 リプレイ攻撃が発生する可能性があります。

• wxbb_virtual: マルチボクシングはWAF SDK統合アプリ用に設定されています。

• wxbb_debugged: デバイスはデバッグモードです。

• wxbb_invalid_sign: 署名の検証に失敗しました。

  このエラーの一般的な原因を次に示します。

  • リクエストには署名が含まれていません。

  • 署名を追加するために渡されるパラメーターは、WAFが受け取るパラメーターとは異なります。 たとえば、a=1&b=2パラメーターは渡されますが、WAFが受け取るパラメーターはb=2&a=1です。 渡されたパラメーターの内容はエンコードされませんが、WAFによって受信された内容はBase64-encodedされます。

wxbb_invalid_sign

wxbb_rule_id

一致したルールの ID。 アプリ保護モジュールのルールが作成されます。

156789

wxbb_test

アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値：

• true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

• false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false