すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:ログのフィールド

最終更新日:Dec 06, 2024

このトピックでは、Web Application Firewall (WAF) ログに含まれるフィールドについて説明します。

フィールド取得のためのテーブル

次の表に、WAFでサポートされている排他的ログフィールドを示します。 フィールド名を使用してフィールドを取得できます。

初期

項目

a

b

  • サーバーからクライアントに返されるバイト数を記録するために使用されるフィールド: body_bytes_sent

    重要

    body_bytes_sentフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

  • リクエストを許可するルールのIDを記録するために使用されるフィールド: bypass_matched_IDs

c

d

  • データ漏洩防止に関連するフィールド: dlp_action | dlp_rule_id | dlp_test

  • 要求の宛先ポートを記録するために使用されるフィールド: dst_port

    重要

    Function Computeのwebアプリケーションにバインドされたカスタムドメイン名では、dst_portフィールドはサポートされていません。

f

リクエストに対してWAFによって実行される最終アクションに関連するフィールド: final_action | final_plugin | final_rule_id | final_rule_type

h

m

q

クエリ文字列の記録に使用するフィールド: querystring

r

  • WAFポートの記録に使用するフィールド: server_port

    重要

    server_portフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

  • クライアントとWAF間のプロトコルを記録するために使用されるフィールド: server_protocol

    重要

    server_protocolフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

  • 暗号スイートとTransport Layer Security (TLS) プロトコルのバージョンを記録するために使用されるフィールド: ssl_cipher | ssl_protocol

  • HTTPステータスコードの記録に使用されるフィールド: status

  • ボット管理に関連するフィールド: scene_action | scene_id | scene_rule_id | scene_rule_type | scene_test | wxbb_info_tbl

  • セマンティック分析攻撃に関連するフィールド: sema_hit | sema_action | sema_rule_id | sema_rule_type | sema_test

  • クライアント要求が開始された時刻を記録するために使用されるフィールド: start_time

  • WAFに接続されているIPアドレスとポートを記録するために使用されるフィールド: src_ip | src_port

t

リクエストが送信された時刻を記録するために使用されるフィールド: time

u

  • back-to-originリクエストへの応答に関連するフィールド: upstream_addr | upstream_response_time | upstream_status

    重要

    upstream_addrフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

  • Alibaba CloudアカウントのIDを記録するために使用されるフィールド: user_id

w

必須フィールド

必須フィールドは、WAFログに含める必要があるフィールドを参照します。

項目

説明

bypass_matched_ids

リクエストを許可する一致したルールのID。 ルールは、ホワイトリストルールまたはカスタム保護ルールにすることができます。

リクエストを許可する複数のルールが一度に一致する場合、このフィールドにはすべてのルールのIDが記録されます。 複数のIDはコンマ (,) で区切ります。

283531

content_type

要求されたコンテンツのタイプ。

application/x-www-form-urlencoded

dst_port

要求された宛先ポート。

重要

このフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

443

final_action

リクエストに対してWAFによって実行される最後のアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • sigchl: 動的トークン認証を実行します。

  • js: JavaScriptの検証が実行されます。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは記録され、実行される最後のアクションのみを含む。 次のアクションは、優先度の高い順にリストされています。blocking (block、strict slider CAPTCHA verification (captcha_strict) 、common slider CAPTCHA verification captcha、およびJavaScript validation (js) 。

block

final_plugin

リクエストに対して実行される最終アクションに基づいた保護モジュール。 final_actionフィールドは、実行される最終アクションを記録する。 有効な値:

  • waf: 基本的な保護ルールモジュール

  • acl: IPアドレスブラックリストルールモジュールまたはカスタム (アクセス制御) ルールモジュール

  • cc: HTTPフラッド保護モジュールまたはカスタム (HTTPフラッド保護) ルールモジュール

  • antiscan: スキャン保護モジュール

  • dlp: データ漏洩防止モジュール

  • scene: シナリオ固有の設定モジュール (アプリでサポート)

  • インテリジェンス: ボット脅威インテリジェンスモジュール

  • wxbb: アプリ保護モジュール

  • sema: セマンティックベースの保護モジュール

  • scc_gdrl: レート制限モジュール

  • major_protection: メジャーイベント保護モジュール

  • コンプライアンス: プロトコル遵守モジュール

要求が保護モジュールをトリガしない場合、このフィールドは記録されない。 たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがCAPTCHA検証またはJavaScript検証に合格した後にリクエストが許可される場合、このフィールドは記録されません。

要求が一度に複数の保護モジュールをトリガする場合、このフィールドは、最終的なアクションが実行される基礎となる保護モジュールのみを記録する。 final_actionフィールドは、実行された最後のアクションを記録します。

waf

final_rule_id

最終的なアクションが実行されるルールのID。 final_actionフィールドは、実行された最後のアクションを記録します。

115341

final_rule_type

最終的なアクションの実行に基づくルールのサブタイプ。 final_rule_idフィールドは、ルールを記録する。

たとえば、final_plugin:waffinal_rule_type:sqlifinal_rule_type:xssをサポートしています。

xss/webShell

ホスト

要求されたドメイン名またはIPアドレスを含むリクエストヘッダーのHostフィールド。 このフィールドの値は、サービスの設定によって異なります。

api.example.com

http_referer

リクエストのソースURLに関する情報を含むリクエストヘッダーのRefererフィールド。

リクエストにソースURL情報が含まれていない場合、このフィールドの値はハイフン (-) で表示されます。

http://example.com

http_user_agent

ブラウザとオペレーティングシステムに関する情報を含むリクエストヘッダーのUser-Agentフィールド。

Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK)

http_x_forward_for

リクエストヘッダーのX-Forwarded-For (XFF) フィールド。 このフィールドは、HTTPプロキシまたはロードバランサーを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。

47.100.XX.XX

https

リクエストが HTTPS リクエストであるかどうかを示します。

  • onの値は、リクエストがHTTPSリクエストであることを示します。

  • フィールドが空の場合、リクエストはHTTPリクエストです。

on

一致した_host

要求された保護オブジェクト。 保護対象オブジェクトは、インスタンスまたはドメイン名にすることができます。

説明

ドメイン名は、完全一致ドメイン名またはワイルドカードドメイン名にすることができます。 たとえば、* .aliyundoc.comドメイン名がWAFに追加されてd www.aliyundoc.comが要求された場合、* .aliyundoc.comドメイン名は要求された保護オブジェクトです。

*.aliyundoc.com

request_uri

要求されるパスとパラメーター。

/news/search.php?id=1

real_client_ip

リクエストを送信するクライアントの送信元IPアドレス。 WAFはリクエストを分析してIPアドレスを特定します。

WAFがクライアントの送信元IPアドレスを識別できない場合、このフィールドの値はハイフン (-) で表示されます。 たとえば、プロキシサーバーが使用されている場合、またはリクエストヘッダーのIPフィールドが無効な場合、WAFはクライアントの送信元IPアドレスを識別できません。

192.0.XX.XX

region

WAFインスタンスがデプロイされているリージョンのID。 有効な値:

  • cn: WAFインスタンスは中国本土にあります。

  • int: WAFインスタンスは中国本土の外部にあります。

cn

src_port

WAFに接続されているポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

80

src_ip

WAFに接続されているIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

198.51.XX.XX

start_time

リクエストが開始された時刻。 単位は秒です。

1696534058

request_length

リクエスト行、リクエストヘッダー、リクエスト本文のバイトを含む、リクエストのバイト数。 単位はバイトです。

111111

request_method

リクエスト方式。

GET

request_time_msec

WAFがリクエストを処理するのにかかる時間。 単位:ミリ秒。

44

request_traceid

WAFがクライアント要求に対して生成する一意の識別子。

7837b11715410386943437009ea1f0

request_traceid_origin

リクエストの元のID。

7ce319151 ***** 18890e

remote_region_id

IPアドレスが属する省のID。

410000

server_protocol

クライアントとWAF間の接続に使用されるプロトコル。

重要

このフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

HTTP/1.1

ssl_cipher

クライアントによって使用される暗号スイート。

ECDHE-RSA-AES128-GCM-SHA256

ssl_protocol

クライアントが使用するSSLまたはTLSプロトコルのバージョン。

TLSv1.2

status

WAFからクライアントへの応答に含まれるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

時間

リクエストが送信された時刻。 時間はyyyy-MM-ddTHH:mm:ss + 08:00形式のISO 8601標準に従います。 時刻は UTC で表示されます。

2018-05-02T16:03:59+08:00

upstream_addr

オリジンサーバーのIPアドレスとポート。 形式はIP:Portです。 IPアドレスとポート番号の複数のペアは、コンマ (,) で区切ります。

重要

このフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

198.51.XX.XX:443

upstream_response_time

WAFによって転送されたリクエストに配信元サーバーが応答するのにかかる時間。 単位は秒です。

0.044

upstream_status

WAFによって転送されたリクエストに応答してオリジンサーバーによって送信されるHTTPステータスコード。 例: 200。これは、リクエストが受信され、受け入れられたことを示します。

200

ユーザー_id

WAFインスタンスが属するAlibaba CloudアカウントのID。

17045741 ********

オプションフィールド

ビジネス要件に基づいて、WAFログのオプションフィールドを有効にできます。 WAFログには、有効にしたオプションフィールドのみが記録されます。

オプションのフィールドを有効にすると、WAFログはより多くのストレージ容量を占有します。 十分なログストレージ容量がある場合は、追加のオプションフィールドを有効にすることを推奨します。 これにより、ログ分析をより包括的に実行できます。 オプションフィールドの設定方法の詳細については、「ログフィールド」をご参照ください。

項目

説明

acl_アクション

IPアドレスブラックリストルールまたはカスタム (アクセス制御) ルールに基づいてリクエストに対して実行されるアクション。 有効な値:

  • block: リクエストはブロックされています。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

  • captcha: 共通スライダーCAPTCHA検証を行います。

  • js: JavaScriptの検証が実行されます。

  • captcha_strict_pass: クライアントは厳密なスライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • js_pass: クライアントはJavaScript検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

acl_rule_id

一致するIPアドレスブラックリストルールまたはカスタム (アクセス制御) ルールのID。

151235

acl_rule_type

一致するIPアドレスブラックリストルールまたはカスタム (アクセス制御) ルールのタイプ。 有効な値:

  • custom: カスタム (アクセス制御) ルールが一致します。

  • blacklist: IPアドレスブラックリストルールが一致しています。

  • scene/basic: ボット管理機能の基本的な保護ルールが一致します。

  • region_block: リージョンブラックリストルールが一致します。

  • scene/appsdk_custom: ボット管理機能のアプリ保護ルールが一致しています。

custom

acl_test

IPアドレスブラックリストルールまたはカスタム (アクセス制御) ルールに基づいて、リクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

antiscan_アクション

スキャン保護ルールに基づいてリクエストに対して実行されるアクション。 このフィールドの値はblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

antiscan_rule_id

一致するスキャン保護ルールのID。

151235

antiscan_rule_type

一致するスキャン保護ルールのタイプ。 有効な値:

  • highfreq: スキャン攻撃が頻繁に開始されるIPアドレスをブロックするために使用されるルール。

  • dirscan: ディレクトリトラバーサル攻撃から防御するために使用されるルール。

  • scantools: スキャナーのIPアドレスをブロックするために使用されるルール。

highfreq

antiscan_test

スキャン保護ルールに基づいてリクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

body_bytes_sent

サーバーからクライアントに返されるバイト数。 レスポンスヘッダーのバイト数は含まれていません。 単位はバイトです。

重要

このフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

1111

cc_アクション

リクエストに対して実行されるアクションは、カスタム (スロットリング) ルールに基づいています。 有効な値:

  • block: リクエストはブロックされています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • js: JavaScriptの検証が実行されます。

  • captcha_pass: クライアントは共通スライダーCAPTCHA検証に合格し、WAFはクライアントからの要求を許可します。

  • js_pass: クライアントはJavaScriptの検証に合格し、WAFはクライアントからの要求を許可します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

cc_rule_id

一致するカスタム (スロットリング) ルールのIDです。

151234

cc_rule_type

一致するルールの種類。The type of the rule that is matched. 有効な値:

  • custom: カスタム (スロットリング) ルール

  • system: HTTPフラッド保護ルール

custom

cc_test

リクエストに対して使用される保護モードは、カスタム (スロットリング) ルールに基づいています。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

request_body

リクエスト本文。 値のサイズは最大8 KBです。

test123curl -ki https:// automated-acltest02。***.top/ -automated-acltest02を解決します。***.top:443:39.107.XX.XX

request_headers_すべて

すべてのリクエストヘッダー。

{

"Accept": "*/*" 、

"Accept-Encoding": "gz** 、de **te、** r "、

"Accept-Language": "zh-Hans-CN;q=1" 、

"Connection": "keep-*** ve" 、

"Content-Length": "1** 6 "、

"Content-Type": "application/json" 、

"Cookie": "cookie_key=***; acw_tc=0abc **** opqrstuvwxyz0 *** 7890;" 、

"ホスト": "1.****.****.1" 、

...

}

request_header

カスタム要求ヘッダー。 このフィールドを有効にする場合は、リクエストヘッダーを指定する必要があります。 最大5つのカスタムリクエストヘッダーを追加できます。 複数のリクエストヘッダーはコンマ (,) で区切ります。

重要

このフィールドは、Function ComputeのwebアプリケーションにバインドされたMSEインスタンスまたはカスタムドメイン名ではサポートされません。

{"ttt":"abcd"}

server_port

要求されたWAFポート。

重要
  • このフィールドはデフォルトで選択されています。

  • このフィールドは、Function Computeのwebアプリケーションにバインドされたカスタムドメイン名ではサポートされていません。

443

waf_action

基本的な保護ルールに基づいてリクエストに対して実行されるアクション。 このフィールドの値はblockとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

waf_rule_id

一致する基本保護ルールのID。

説明

ルールIDは、[セキュリティレポート] ページの [基本保護ルール] タブに表示されます。 詳細については、「基本的な保護ルールモジュール」をご参照ください。

113406

waf_rule_type

一致する基本保護ルールのタイプ。 有効な値:

  • sqli: SQLインジェクション攻撃に対する防御に使用されるルール

  • xss: クロスサイトスクリプティング (XSS) 攻撃から防御するために使用されるルール

  • code_exec: コード実行攻撃に対する防御に使用されるルール

  • crlf: キャリッジリターンラインフィード (CRLF) インジェクション攻撃から防御するために使用されるルール

  • lfilei: ローカルファイル包含 (LFI) 攻撃に対する防御に使用されるルール

  • rfilei: RFI (リモート・ファイル・インクルージョン) 攻撃に対する防御に使用されるルール

  • webshell: webshellの脆弱性を悪用する攻撃から防御するために使用されるルール

  • csrf: クロスサイト要求偽造 (CSRF) インジェクション攻撃から防御するために使用されるルール

  • その他: その他のルール

  • cmdi: オペレーティングシステム (OS) コマンド注入攻撃から防御するために使用されるルール

  • expression_injection: 式言語 (EL) インジェクション攻撃に対して防御するために使用されるルール

  • java_deserialization: Java deserializationの脆弱性を悪用する攻撃から防御するために使用されるルール

  • php_deserialization: PHPのデシリアル化の脆弱性を悪用する攻撃から防御するために使用されるルール

  • ssrf: Server-Side Request Forgery (SSRF) 攻撃に対する防御に使用されるルール

  • path_traversal: パストラバーサル攻撃に対する防御に使用されるルール

  • protocol_violation: プロトコル違反攻撃に対する防御に使用されるルール

  • arbitrary_file_uploading: 任意のファイルアップロードの脆弱性を悪用する攻撃から防御するために使用されるルール

  • dot_net_deserialization: 悪用される攻撃から防御するために使用されるルール。NET逆シリアル化の脆弱性

  • scanner_behavior: スキャナーの動作の脆弱性を悪用する攻撃から防御するために使用されるルール

  • logic_defree: ビジネスロジックの脆弱性を悪用する攻撃から防御するために使用されるルール

  • arbitrary_file_reading: 任意のファイル読み取りの脆弱性を悪用する攻撃から防御するために使用されるルール

  • arbitrary_file_download: 任意のファイルダウンロードの脆弱性を悪用する攻撃から防御するために使用されるルール

  • xxe: XML外部エンティティ (XXE) インジェクション攻撃に対する防御に使用されるルール

xss

waf_test

基本的な保護ルールに基づいてリクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

major_protection_アクション

メジャーイベント保護テンプレートに基づいてリクエストに対して実行されるアクション。 WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

major_protection_rule_id

一致するメジャーイベント保護ルールのID。

2221

major_protection_rule_型

一致するメジャーイベント保護ルールのタイプ。 有効な値:

  • waf_blocks: メジャーイベント保護のルールグループ内のルール

  • threat_intelligence: 主要なイベント保護のための脅威インテリジェンスルール

  • ブラックリスト: 主要なイベント保護のためのIPアドレスブラックリストルール

  • shiro: shiro逆シリアル化の脆弱性を悪用する攻撃から防御するために使用されるルール

waf_blocks

major_protection_test

メジャーイベント保護ルールに基づいて使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

true

response_set_cookie

サーバーからクライアントに送信されるcookie。

重要

このフィールドは、Function ComputeのwebアプリケーションにバインドされたMSEインスタンスまたはカスタムドメイン名ではサポートされません。

acw_tc=781bad3616674790875002820e2cebbc55b6e0dfd9579302762b1dece40e0a;path=\/;HttpOnly;Max-Age=1800

response_header

すべてのレスポンスヘッダー。

重要

このフィールドは、Function ComputeのwebアプリケーションにバインドされたMSEインスタンスまたはカスタムドメイン名ではサポートされません。

{"transfer-encoding":"chunked" 、"set-cookie":"acw_tc=***;path=\/;HttpOnly;Max-Age=1800" 、"content-type":"text\/html;charset=utf-8" 、"x-powered-by":"PHP\/7.2.24" 、"server":"nginx\/1.18.0" "connection":"close"}

response_info

レスポンス本文。 値のサイズは最大16 KBです。 content-encodingヘッダーの値がgzipの場合、レスポンスボディはBase64でエンコードされます。

重要

このフィールドは、Function ComputeのwebアプリケーションにバインドされたALBインスタンス、MSEインスタンス、またはカスタムドメイン名ではサポートされません。

$_POST Received:<br/>Array ( [***] => ) <hr/> $GLOBALS['HTTP_RAW_POST_DATA '] Received:<br/> <hr/> php:// input Received:***

request_path

リクエストの相対パス。 相対パスは、要求されたURLのうち、ドメイン名の後かつ疑問符 (?) の前にある部分であり、クエリ文字列を除く。

説明

このフィールドはデフォルトで選択されています。

/news/search.php

dlp_アクション

データ漏洩防止ルールに基づいてリクエストに対して実行されるアクション。 有効な値:

  • monitor: リクエストが監視されます。

  • block: リクエストはブロックされています。

  • filter: リクエストはマスクされています。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

block

dlp_rule_id

一致するデータ漏洩防止ルールのID。

20031483

dlp_test

データ漏洩防止ルールに基づいてリクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

true

querystring

クライアント要求のクエリ文字列。 クエリ文字列は、要求されたURLの疑問符 (?) に続く部分です。

説明

このフィールドはデフォルトで選択されています。

title=tm_content%3Darticle&pid=123

scene_action

ボット管理シナリオ固有のルールに基づいてリクエストに対して実行されるアクション。 有効な値:

  • js: JavaScriptの検証が実行されます。

  • sigchl: 動的トークン認証を実行します。

  • block: リクエストはブロックされています。

  • monitor: リクエストが監視されます。

  • bypass: リクエストは許可されています。

  • captcha: 共通スライダーCAPTCHA検証が実行されます。

  • captcha_strict: 厳密なスライダーCAPTCHA検証が実行されます。

WAF保護アクションの詳細については、「 *_actionフィールドの説明」をご参照ください。

js

scene_id

一致するボット管理シナリオ固有ルールのシナリオID。

a82d992b_bc8c_47f0_87ce_******

scene_rule_id

ボット管理シナリオ固有ルールのIDと基本保護ルールのID。

js-a82d992b_bc8c_47f0_87ce_******

scene_rule_type

一致するボット管理シナリオ固有のルールのタイプ。 有効な値:

  • bot_aialgo: インテリジェントな保護ルール

  • cc: カスタム調整ルール

  • インテリジェンス: 脅威インテリジェンスルール

  • js: JavaScript検証ルール

  • sigchl: 動的トークン認証ルール

  • sdk: SDK署名とデバイスデータ収集のルール、または二次パッケージング検出のルール

bot_aialgo

scene_test

ボット管理シナリオ固有のルールに基づいてリクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

true

remote_addr

WAFに接続されているIPアドレス。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのIPアドレスが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのIPアドレスが記録されます。

説明

このフィールドはデフォルトで選択されています。

198.51.XX.XX

remote_port

WAFに接続されているポート。

WAFの前にレイヤ7プロキシがデプロイされていない場合、このフィールドにはクライアントのポートが記録されます。 Alibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドにはレイヤ7プロキシのポートが記録されます。

説明

このフィールドはデフォルトで選択されています。

80

waf_hit

基本的な保護ルールに一致するコンテンツ。

{"postarg_values":{"hit":["${jndi:ldap://"],"raw":"postarg.log4j =${ jndi:ldap://"}}

コンプライアンス_ヒット

プロトコルコンプライアンス違反攻撃に一致するコンテンツ。

********** 7df271da040a

コンプライアンス_アクション

プロトコル準拠ルールに基づいてリクエストに対して実行されるアクション。 このフィールドの値はブロックとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。

block

compliance_rule_id

一致するプロトコル準拠ルールのID。

300033

compliance_rule_type

一致するプロトコル準拠ルールのタイプ。 値はprotocol_violationとして固定されます。

protocol_violation

compliance_test

プロトコル準拠ルールに基づいて要求に使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

セマ_ヒット

セマンティック分析攻撃に一致するコンテンツ。

{"queryarg_values":{"hit":["\" fro m mysql.us er "]," raw ":" queryarg.y=\"fro m mysql.us er"}}

sema_action

セマンティック分析ルールに基づいてリクエストに対して実行されるアクション。 このフィールドの値はブロックとして固定され、リクエストがブロックされていることを示します。

WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。

block

sema_rule_id

一致するセマンティック分析ルールのID。

810015

sema_rule_type

一致するセマンティック分析ルールのタイプ。 値は、SQLインジェクション防止ルールを示すsqliとして固定されています。

sqli

sema_test

セマンティック分析ルールに基づいてリクエストに使用される保護モード。 有効な値:

  • true: 監視モード。 このモードでは、ログは記録されますが、ブロックなどの保護アクションは実行されません。

  • false: 予防モード。 このモードでは、WAFは、保護ルールに一致するリクエストに対して、ブロックなどの保護アクションを実行します。

false

wxbb_info_tbl

アプリ保護のボット管理ルールに一致するリクエストのデバイス情報。

{

"abnormal_imei": "0" 、

"abnormal_time": "1" 、

*****

"appversion": "9.4.3" 、

"ブランド": "Android" 、

*****

}

*_actionフィールドの説明

説明

*_actionは、さまざまな保護ルールの保護アクションを示します。 たとえば、final_actionはWAFによって実行される最後のアクションを示し、waf_actionは基本的な保護ルールの保護アクションを示します。 保護アクションは、保護ルールに基づいて異なります。 保護アクションの詳細については、パラメーターの説明をご参照ください。

次の表に、WAFでサポートされている保護アクションを示します。

保護アクション

説明

block

リクエストがブロックされました。 WAFはクライアント要求をブロックし、HTTPエラーコード405をクライアントに返します。

captcha_strict

厳密なスライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが厳密なスライダーCAPTCHA検証に合格した場合、WAFは要求を許可します。 それ以外の場合、WAFはリクエストをブロックします。 クライアントがリクエストを送信するたびに、クライアントは厳密なスライダーCAPTCHA検証に合格する必要があります。

captcha

共通スライダーCAPTCHA検証が実行されます。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。 クライアントが共通スライダーCAPTCHA検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

js

JavaScriptの検証が実行されます。 WAFはJavaScriptコードをクライアントに返します。 JavaScriptコードは、クライアントブラウザによって自動的に実行されます。 クライアントがJavaScript検証に合格した場合、WAFは特定の時間範囲内にクライアントから送信されたリクエストを許可します。 デフォルトでは、時間範囲は30分に設定されています。 それ以外の場合、WAFはクライアントからの要求をブロックします。

js_pass

JavaScriptの検証が渡されます。 WAFはリクエストを許可します。

sigchl

動的トークン認証が実行され、webリクエストが署名されます。 クライアントがリクエストを送信すると、WAFによって発行されたWeb SDKがリクエストの署名を生成します。 署名は、リクエストと共にオリジンサーバーに転送されます。 署名が生成されて検証された場合、リクエストはオリジンサーバーに転送されます。 署名の生成または検証に失敗した場合、動的トークンを取得するために使用できるコードブロックがクライアントに返され、要求に再署名する必要があります。