すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:WAFでサポートされるログフィールド

最終更新日:Dec 09, 2024

このトピックでは、Web Application Firewall (WAF) でサポートされるログフィールドについて説明します。

フィールド取得のためのテーブル

次の表に、WAFでサポートされているログフィールドを示します。 フィールドの名前を使用して、表示するフィールドを取得できます。

初期

項目

a

b

  • 保護タイプの記録に使用するフィールド: block_action

  • レスポンス本文のバイト数を記録するために使用するフィールド: body_bytes_sent

  • リクエストを許可するルールのIDを記録するために使用されるフィールド: bypass_matched_IDs

c

d

f

finalアクションに関連するフィールド: final_action | final_plugin | final_rule_id | final_rule_type

h

i

ボット脅威インテリジェンスに関連するフィールド: intelligence_action | intelligence_rule_id | intelligence_test

m

WAFに追加された一致したドメイン名を記録するために使用されるフィールド: matched_host

n

ポジティブなセキュリティモデルに関連するフィールド: normalized_action | normalized_rule_id | normalized_rule_type | normalized_test

q

クエリ文字列の記録に使用するフィールド: querystring

r

t

リクエストが開始された時刻を記録するために使用されるフィールド: time

u

w

アクションフィールドの説明

次の表に、WAFでサポートされているすべてのアクションを示します。

アクションフィールドの値

説明

block

リクエストがブロックされました。 WAFはクライアント要求をブロックし、HTTPエラーコード405をクライアントに返します。

captcha_strict

厳密なスライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが厳密なスライダーCAPTCHA検証に合格した場合、WAFは要求を許可します。 それ以外の場合、WAFはリクエストをブロックします。 クライアントがリクエストを送信するたびに、クライアントは厳密なスライダーCAPTCHA検証に合格する必要があります。

captcha

共通スライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが共通スライダーCAPTCHA検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

sigchl

動的トークン認証が実行され、webリクエストが署名されます。 クライアントがリクエストを送信すると、WAFによって発行されたWeb SDKがリクエストの署名を生成します。 署名は、リクエストと共にオリジンサーバーに転送されます。 署名が生成されて検証された場合、リクエストはオリジンサーバーに転送されます。 署名の生成または検証に失敗した場合、動的トークンを取得するために使用できるコードブロックがクライアントに返され、要求に再署名する必要があります。

js

JavaScriptの検証が実行されます。 WAFはJavaScriptコードをクライアントに返します。 JavaScriptコードは、クライアントブラウザによって自動的に実行されます。 クライアントがJavaScript検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

パス

リクエストは許可されています。 WAFはクライアント要求を許可し、その要求を配信元サーバーに転送します。

captcha_strict_pass

クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

captcha_pass

クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

sigchl_pass

クライアントは動的トークン認証を渡し、WAFはクライアント要求を許可します。

js_pass

クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

マスク

WAFは、オリジンサーバーから返される機密データをマスクし、結果をクライアントに返します。 データ漏洩防止モジュールのみがこのアクションをサポートしています。

continue

リクエストは許可されています。 継続アクションの意味は、保護モジュールに基づいて変化する。 詳細については、このトピックのnormalized_actionおよびwxbb_actionフィールドの説明を参照してください。

必須フィールド

必須フィールドは、WAFログに含める必要があるフィールドを参照します。

項目

説明

acl_rule_type

一致したルールのタイプ。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。 有効な値:

  • custom: カスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルール

  • blacklist: IPアドレスブラックリストモジュール用に作成されたルール

custom

bypass_matched_ids

クライアント要求を許可する一致したルールのID。 ルールは、ホワイトリストまたはカスタム保護ポリシーモジュール用に作成されます。

リクエストを許可する複数のルールが一度に一致する場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。

283531

cc_rule_type

一致したルールのタイプ。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。 有効な値:

  • custom: カスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルール

  • system: HTTPフラッド保護ポリシーモジュール用に作成されたルール

custom

content_type

リクエストコンテンツのタイプ。

application/x-www-form-urlencoded

dst_port

宛先ポート。

443

final_action

リクエストに対してWAFによって実行される最後のアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • sigchl: 動的トークン認証を実行します。

  • js: JavaScriptの検証が実行されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 ブロック (block) 、厳密なスライダーCAPTCHA検証 (captcha_strict) 、一般的なスライダーCAPTCHA検証 (captcha) 、動的トークン認証 (sigchl) 、およびJavaScript検証 (js) のアクションが優先度の高い順にリストされます。

block

final_plugin

リクエストに対して実行される最終アクションに基づいた保護モジュール。 final_actionフィールドは、実行される最終アクションを記録する。 有効な値:

  • waf: 保護ルールエンジンモジュール

  • deeplearning: 深層学習エンジンモジュール

  • dlp: データ漏洩防止モジュール

  • account: アカウントセキュリティモジュール

  • 正規化: 正のセキュリティモデルモジュール

  • acl: IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール

  • cc: HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール

  • antiscan: スキャン保護モジュール

  • scene: シナリオ固有の設定モジュール

  • antiflude: データリスク管理モジュール

  • インテリジェンス: ボット脅威インテリジェンスモジュール

  • algorithm: 典型的なボット動作識別モジュール

  • wxbb: アプリ保護モジュール

上記の保護モジュールを設定するには、WAFコンソールにログインし、左側のナビゲーションウィンドウで保護設定 > Webサイト保護を選択します。 WAFの保護モジュールの詳細については、「概要」をご参照ください。

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 final_actionフィールドは、実行された最後のアクションを記録します。

waf

final_rule_id

最終的なアクションが実行されるルールのID。 final_actionフィールドは、実行された最後のアクションを記録します。

115341

final_rule_type

最終的なアクションの実行に基づくルールのサブタイプ。 final_rule_idフィールドは、ルールを記録する。

たとえば、final_plugin:waffinal_rule_type:sqlifinal_rule_type:xssをサポートしています。

xss/webshell

ホスト

要求されたドメイン名またはIPアドレスを含むリクエストヘッダーのHostフィールド。

api.example.com

http_referer

リクエストのソースURLに関する情報を含むリクエストヘッダーのRefererフィールド。

リクエストにソースURL情報が含まれていない場合、このフィールドの値はハイフン (-) で表示されます。

http://example.com

http_user_agent

ブラウザとオペレーティングシステムに関する情報を含むリクエストヘッダーのUser-Agentフィールド。

Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK)

http_x_forward_for

リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたはロードバランサーを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。

47.100.XX.XX

https

リクエストが HTTPS リクエストであるかどうかを示します。

  • onの値は、リクエストがHTTPSリクエストであることを示します。

  • フィールドが空の場合、リクエストはHTTPリクエストです。

on

一致した_host

WAFに追加された一致したドメイン名。

説明

ドメイン名は、完全一致ドメイン名またはワイルドカードドメイン名にすることができます。 たとえば、* .aliyun.comドメイン名がWAFに追加され、d www.aliyun.comが要求された場合、* .aliyun.comドメイン名が一致する可能性があります。

*.aliyun.com

real_client_ip

リクエストを送信するクライアントの送信元IPアドレス。 WAFはリクエストを分析してIPアドレスを特定します。

WAFがクライアントの送信元IPアドレスを識別できない場合、このフィールドの値はハイフン (-) で表示されます。 たとえば、プロキシサーバーが使用されている場合、またはリクエストヘッダーのIPフィールドが無効な場合、WAFはクライアントの送信元IPアドレスを識別できません。

192.0.XX.XX

request_length

リクエスト行、リクエストヘッダー、リクエスト本文のバイトを含む、リクエストのバイト数。 単位はバイトです。

111111

request_method

リクエスト方式。

GET

request_time_msec

WAFがリクエストを処理するのにかかる時間。 単位:ミリ秒。

44

request_traceid

WAFがクライアント要求に対して生成する一意の識別子。

7837b11715410386943437009ea1f0

request_uri

リクエストパスとリクエストパラメーター。

/news/search.php?id=1

server_protocol

クライアントとWAF間の接続に使用されるプロトコル。

HTTP/1.1

status

WAFからクライアントへの応答に含まれるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

src_port

WAFへの接続に使用されるポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

src_ip

WAFへの接続に使用されるIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

start_time

リクエストが送信された時刻。 単位は秒です。

1696534058

時間

リクエストが送信された時刻。 時間はyyyy-MM-ddTHH:mm:ss + 08:00形式のISO 8601標準に従います。 時刻は UTC で表示されます。

2018-05-02T16:03:59+08:00

upstream_addr

オリジンサーバーのIPアドレスとポート。 形式はIP:Portです。 IPアドレスとポート番号の複数のペアは、コンマ (,) で区切ります。

198.51.XX.XX:443

upstream_response_time

配信元サーバーがWAFによって転送された要求に応答し、WAFが応答をクライアントに転送するのに必要な合計時間。 単位は秒です。

0.044

upstream_status

WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

オプションフィールド

ビジネス要件に基づいて、WAFログにオプションのフィールドを含めることができます。 WAFログには、有効にしたオプションフィールドのみが記録されます。

オプションのフィールドを有効にすると、WAFログはより多くのストレージ容量を占有します。 十分なログストレージ容量がある場合は、追加のオプションフィールドを有効にすることを推奨します。 これにより、ログ分析をより包括的に実行できます。 オプションフィールドの設定方法の詳細については、「ログ設定の変更」をご参照ください。

項目

説明

account_action

アカウントのセキュリティルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

account_rule_id

一致したアカウントセキュリティルールのID。

151235

account_test

アカウントのセキュリティルールに基づいてクライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

acl_アクション

IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • captcha_strict_pass: クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

acl_rule_id

一致したルールの ID。 ルールは、IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュールに対して作成されます。

151235

acl_test

IPアドレスブラックリストまたはカスタム保護ポリシー (ACLポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

algorithm_action

典型的なボット動作識別モジュールのために作成されたルールに基づいてクライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

algorithm_rule_id

一致したルールの ID。 ルールは、典型的なボット動作識別モジュールのために作成される。

151235

algorithm_test

一般的なボット動作識別モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

不正防止_アクション

データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • pass: リクエストは許可されています。

  • block: リクエストはブロックされています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

antifraud_test

データリスク管理モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

antiscan_アクション

スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

antiscan_rule_id

一致したルールの ID。 ルールはスキャン保護モジュール用に作成されます。

151235

antiscan_rule_type

一致したルールのタイプ。 ルールはスキャン保護モジュール用に作成されます。 有効な値:

  • highfreq: web攻撃が頻繁に開始されるIPアドレスをブロックするルール

  • dirscan: ディレクトリトラバーサル攻撃から防御するルール

  • scantools: スキャナーのIPアドレスをブロックするルール

  • 共同: 共同防衛ルール

highfreq

antiscan_test

スキャン保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

ブロック_アクション

重要

WAFのアップグレードにより、このフィールドは無効になりました。 このフィールドは、final_pluginフィールドに置き換えられます。 サービスでblock_actionフィールドが使用されている場合は、できるだけ早くfinal_pluginフィールドに置き換えます。

リクエストをブロックするためにトリガーされるWAF保護モジュール。 有効な値:

  • tmd: HTTPフラッド保護モジュール。 この値は、final_pluginフィールドのcc値に相当します。

  • waf: web攻撃保護モジュール。 この値は、final_pluginフィールドのwaf値に相当します。

  • acl: カスタム保護ポリシーモジュール。 この値は、final_pluginフィールドのacl値に相当します。

  • deeplearning: 深層学習エンジンモジュール。 この値は、final_pluginフィールドのdeeplearning値に相当します。

  • antiscan: スキャン保護モジュール。 この値は、final_pluginフィールドのantiscan値に相当します。

  • antifroud: データリスク管理モジュール。 この値は、final_pluginフィールドの不正防止値に相当します。

  • antibot: ボット管理モジュール。 この値は、final_pluginフィールドのintelligencealgorithmwxbb、およびscene値に相当します。

waf

body_bytes_sent

サーバーからクライアントに返されるバイト数 (レスポンスヘッダーのバイト数を除く) 。 単位はバイトです。

1111

cc_アクション

HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

cc_rule_id

一致したルールの ID。 ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されます。

151234

cc_test

HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護ポリシー) モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

deeplearning_action

深層学習エンジンモジュール用に作成されたルールに基づいてクライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

deeplearning_rule_id

一致したルールの ID。 ルールは、深層学習エンジンモジュール用に作成されます。

151238

deeplearning_rule_型

一致したルールのタイプ。 ルールは、深層学習エンジンモジュール用に作成されます。 有効な値:

  • xss: クロスサイトスクリプティング (XSS) 攻撃から防御するために使用されるルール

  • code_exec: コード実行攻撃に対する防御に使用されるルール

  • webshell: webshellの脆弱性を悪用する攻撃から防御するために使用されるルール

  • sqli: SQLインジェクション攻撃に対する防御に使用されるルール

  • lfilei: ローカルファイルの包含 (LFI) 攻撃に対する防御に使用されるルール

  • rfilei: RFI (リモートファイルインクルージョン) 攻撃から防御するために使用されるルール

  • other: other protection rules

xss

deeplearning_test

深層学習エンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

dlp_アクション

データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • mask: 機密データがマスクされます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

マスク

dlp_rule_id

一致したルールの ID。 データ漏えい防止モジュールのルールを作成します。

151245

dlp_test

データ漏洩防止モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

インテリジェンス_アクション

ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • captcha_strict_pass: クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

intelligence_rule_id

一致したルールの ID。 ルールは、ボット脅威インテリジェンスモジュール用に作成されます。

152234

インテリジェンス_テスト

ボット脅威インテリジェンスモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

正規化された_アクション

肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • continue: リクエストは許可されています。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

normalized_rule_id

一致したルールの ID。 ルールは、正のセキュリティモデルモジュールに対して作成される。

151266

normalized_rule_type

一致したルールのタイプ。 ルールは、正のセキュリティモデルモジュールに対して作成される。 有効な値:

  • User-Agent: ユーザーエージェントベースのベースラインルール。 リクエストヘッダーのUser-Agentフィールドがベースラインに準拠していない場合、攻撃が発生する可能性があります。 この説明は、他のルールタイプに適用されます。

  • リファラー: リファラーベースのベースラインルール。

  • URL: URLベースのベースラインルール。

  • Cookie: cookieベースのベースラインルール。

  • Body: リクエストボディベースのベースラインルール。

User-Agent

normalized_test

肯定的なセキュリティモデルモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

querystring

リクエスト内の照会文字列。 クエリ文字列は、リクエストURLの疑問符 (?) の後に続きます。

title=tm_content%3Darticle&pid=123

region

WAFインスタンスが存在するリージョン。 有効な値:

  • cn: WAFインスタンスは中国本土にあります。

  • int: WAFインスタンスは中国本土の外部にあります。

cn

remote_addr

WAFへの接続に使用されるIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

remote_port

WAFへの接続に使用されるポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

request_body

リクエスト本文。

私は暗号化されているかどうかにかかわらず、リクエストボディです!

request_path

要求される相対パス。 相対パスは、リクエストURLのドメイン名と疑問符 (?) の間の部分です。 相対パスにはクエリ文字列は含まれません。

/news/search.php

scene_action

シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • sigchl: 動的トークン認証を実行します。

  • js: JavaScriptの検証が実行されます。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアント要求を許可します。

  • sigchL_pass: クライアントは動的トークン認証を渡し、WAFはクライアント要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアント要求を許可します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

scene_id

一致したルールのシナリオID。 ルールは、シナリオ固有の構成モジュールのために作成される。

151235

scene_rule_id

一致したルールの ID。 ルールは、シナリオ固有の構成モジュールのために作成される。

153678

scene_rule_type

一致したルールのタイプ。 ルールは、シナリオ固有の構成モジュールのために作成される。 有効な値:

  • bot_aialgo: インテリジェントな保護ルール

  • js: スクリプトベースのボットをブロックするルール

  • インテリジェンス: ボットの脅威インテリジェンスまたはデータセンターのブラックリストに基づいて攻撃をブロックするルール

  • sdk: SDK統合アプリの異常なシグネチャと異常なデバイス動作をチェックするルール

  • cc: IPアドレスベースのスロットリングルールまたはカスタムセッションベースのスロットリングルール

  • sigchl: 動的トークン認証ルール

bot_aialgo

sigchl_invalid_type

動的トークン認証ルールに基づいてリクエストが異常と見なされる理由。 有効な値:

  • sigchl_invalid_sig: 署名の検証に失敗しました。 このエラーの一般的な原因を次に示します。

    • リクエストには署名が含まれていません。

    • 署名を追加するために渡されるパラメーターは、WAFが受け取るパラメーターとは異なります。

  • sigchl_is_replay: 署名のタイムスタンプが異常です。 リプレイ攻撃が発生する可能性があります。

  • sigchl_is_driver: リクエストはWebDriver攻撃リクエストと見なされます。

sigchl_invalid_sig

scene_test

シナリオ固有の構成モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

server_port

要求されたWAFポート。

443

ssl_cipher

クライアントによって使用される暗号スイート。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

クライアントが使用するSSLまたはTLSプロトコルのバージョン。

TLSv1.2

ua_ブラウザ

リクエストを開始するブラウザの名前。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

ie9

ua_browser_ファミリー

ブラウザが属するファミリ。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

internet explorer

ua_browser_type

リクエストを開始するブラウザーのタイプ。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

web_browser

ua_browser_version

リクエストを開始するブラウザのバージョン。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

9.0

ua_device_type

リクエストを開始するクライアントのデバイスタイプ。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

computer

ua_os

要求を開始するクライアントのオペレーティングシステム。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

windows_7

ua_os_ファミリー

クライアントのオペレーティングシステムが属するファミリ。

重要

2021年12月15日以降、ログ設定でこのフィールドを有効にしても、このフィールドはWAFログに含まれなくなります。 リクエストヘッダーのUser-Agentフィールドに関する情報を取得するには、http_user_agent必須フィールドを有効にすることを推奨します。 詳細については、このトピックのhttp_user_agentフィールドの説明を参照してください。

windows

ユーザー_id

WAFインスタンスが属するAlibaba CloudアカウントのID。

17045741 ********

waf_action

保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 このフィールドはblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

waf_rule_id

一致したルールの ID。 ルールは、保護ルールエンジンモジュールのために作成される。

113406

waf_rule_type

一致したルールのタイプ。 ルールは、保護ルールエンジンモジュールのために作成される。 有効な値:

  • sqli: SQLインジェクション攻撃に対する防御に使用されるルール

  • xss: 防御に使用されるルール (XSS攻撃)

  • code_exec: コード実行攻撃に対する防御に使用されるルール

  • crlf: キャリッジリターンラインフィード (CRLF) インジェクション攻撃から防御するために使用されるルール

  • lfilei: LFI攻撃から防御するために使用されるルール

  • rfilei: RFI攻撃から防御するために使用されるルール

  • webshell: webshellの脆弱性を悪用する攻撃から防御するために使用されるルール

  • csrf: クロスサイト要求偽造 (CSRF) インジェクション攻撃から防御するために使用されるルール

  • その他: その他の保護ルール

  • cmdi: オペレーティングシステム (OS) コマンド注入攻撃から防御するために使用されるルール

  • expression_injection: 式言語 (EL) インジェクション攻撃に対して防御するために使用されるルール

  • java_deserialization: Java deserializationの脆弱性を悪用する攻撃から防御するために使用されるルール

  • php_deserialization: PHPのデシリアル化の脆弱性を悪用する攻撃から防御するために使用されるルール

  • ssrf: Server-Side Request Forgery (SSRF) 攻撃に対する防御に使用されるルール

  • path_traversal: パストラバーサル攻撃に対する防御に使用されるルール

  • protocol_violation: プロトコル違反攻撃に対する防御に使用されるルール

  • arbitrary_file_uploading: 任意のファイルアップロードの脆弱性を悪用する攻撃から防御するために使用されるルール

  • dot_net_deserialization: 悪用される攻撃から防御するために使用されるルール。NET逆シリアル化の脆弱性

  • scanner_behavior: スキャナーの動作の脆弱性を悪用する攻撃から防御するために使用されるルール

  • logic_defree: ビジネスロジックの脆弱性を悪用する攻撃から防御するために使用されるルール

  • arbitrary_file_reading: 任意のファイル読み取りの脆弱性を悪用する攻撃から防御するために使用されるルール

  • arbitrary_file_download: 任意のファイルダウンロードの脆弱性を悪用する攻撃から防御するために使用されるルール

  • xxe: XML外部エンティティ (XXE) インジェクション攻撃に対する防御に使用されるルール

xss

waf_test

保護ルールエンジンモジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

wxbb_アクション

アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に対して実行されるアクション。 有効な値:

  • block: 署名検証が失敗したため、リクエストはブロックされます。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • continue: 署名検証に合格したため、リクエストは許可されます。

WAF保護アクションの詳細については、このトピックの「アクションフィールドの説明」をご参照ください。

block

wxbb_invalid_wua

アプリ保護モジュール用に作成されたルールに基づいて、リクエストが異常と見なされる理由。 有効な値:

  • wxbb_simulator: シミュレータを使用します。

  • wxbb_proxy: プロキシが使用されています。

  • wxbb_root: ルート化されたデバイスが使用されます。

  • wxbb_hook: フックが使用されます。

  • wxbb_antireplay: wToken署名文字列が使用されます。 リプレイ攻撃が発生する可能性があります。

  • wxbb_virtual: マルチボクシングはWAF SDK統合アプリ用に設定されています。

  • wxbb_debugged: デバイスはデバッグモードです。

  • wxbb_invalid_sign: 署名の検証に失敗しました。

    このエラーの一般的な原因を次に示します。

    • リクエストには署名が含まれていません。

    • 署名を追加するために渡されるパラメーターは、WAFが受け取るパラメーターとは異なります。 たとえば、a=1&b=2パラメーターは渡されますが、WAFが受け取るパラメーターはb=2&a=1です。 渡されたパラメーターの内容はエンコードされませんが、WAFによって受信された内容はBase64-encodedされます。

wxbb_invalid_sign

wxbb_rule_id

一致したルールの ID。 アプリ保護モジュールのルールが作成されます。

156789

wxbb_test

アプリ保護モジュール用に作成されたルールに基づいて、クライアント要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false