WAFでサポートされるログフィールド - - Alibaba Cloud ドキュメントセンター

このトピックでは、Web Application Firewall (WAF) でサポートされるログフィールドについて説明します。

フィールド取得のためのテーブル

次の表に、WAFでサポートされているログフィールドを示します。フィールド名を使って、特定のフィールドを照会することができます。


First letter of a field name	フィールド
a	アカウント関連分野: account_action \| account_rule_id \| account_test アクセス制御リスト（ACL）関連フィールド: acl_action \| acl_rule_id \| acl_rule_type \| acl_test アルゴリズム関連フィールド: algorithm_action \| algorithm_rule_id \| algorithm_test データリスク管理関連分野: antifraud_action \| antifraud_test スキャン保護関連分野: antiscan_action \| antiscan_rule_id \| antiscan_rule_type \| antiscan_test
b	保護タイプフィールド: block_action サーバーからクライアントに返されるレスポンス本文のバイトフィールド: body_bytes_sent リクエストを許可するルールのIDフィールド: bypass_matched_ids
c	HTTPフラッド保護関連フィールド: cc_action \| cc_rule_id \| cc_rule_type \| cc_test Content typeフィールド: content_type
d	ディープラーニングエンジン関連フィールド: deeplearning_action \| deeplearning_rule_id \| deeplearning_rule_type \| deeplearning_test データ漏洩防止関連フィールド: dlp_action \| dlp_rule_id \| dlp_test
f	最終関連分野: final_action \| final_plugin \| final_rule_id \| final_rule_type
h	ホストフィールド: host HTTP関連分野: http_cookie \| http_referer \| http_user_agent \| http_x_forwarded_for \| https
i	ボットスレットインテリジェンス関連分野: intelligence_action \| intelligence_rule_id \| intelligence_test
m	WAで保護されているドメイン名と一致した場合のフィールド: matched_host
n	ポジティブセキュリティモデル関連分野: normalized_action \| normalized_rule_id \| normalized_rule_type \| normalized_test
q	クエリ文字列フィールド: querystring
r	実際のIPアドレスのフィールド: real_client_ip リージョンIDフィールド: Region 遠隔関連分野: remote_addr \| remote_port リクエスト関連分野: request_body \| request_length \| request_method \| request_path \| request_time_msec \| request_traceid
s	シナリオに応じた設定を行うためのフィールド: scene_action \| scene_id \| scene_rule_id \| scene_rule_type \| scene_test サーバー関連分野: server_port \| server_protocol SSL関連フィールド: server_port \| server_protocol HTTPステータスコードに対応するフィールド: status リクエスト例外の原因に関するフィールド: sigchl_invalid_type
t	リクエスト時間フィールド: time
u	ブラウザー関連分野: ua_browser \| ua_browser_family \| ua_browser_type \| ua_browser_version クライアントデバイスの種類に応じたフィールド: ua_device_type オペレーティングシステム関連のフィールド: ua_os \| ua_os_family オリジンサーバー関連のフィールド: upstream_addr \| upstream_response_time \| upstream_status アカウントIDフィールド: user_id
w	WAF関連のフィールド: waf_action \| waf_rule_id \| waf_rule_type \| waf_test アプリ保護関連分野: wxbb_action \| wxbb_invalid_wua \| wxbb_rule_id \| wxbb_test

のDescriptionアクションフィールド

次の表に、WAFでサポートされているすべてのアクションを示します。

アクションフィールドの値	説明
block	ブロックアクションを示します。WAFはクライアントからのリクエストをブロックし、405エラーページをクライアントに返します。
captcha_strict	スライダーの CAPTCHA 検証が厳格であることを示す。WAFは、スライダーCAPTCHAの検証に使用するページをクライアントに返します。クライアントが strict slider CAPTCHA 検証に合格した場合、WAF はクライアントからの要求を許可します。クライアントが strict slider CAPTCHA 検証に失敗した場合、WAF はリクエストをブロックします。クライアントがリクエストを送信するたびに、厳密なスライダー CAPTCHA 検証に合格する必要があります。
captcha	共通スライダーCAPTCHAによる検証を示す。 WAFは、スライダーCAPTCHA検証に使用されるページをクライアントに返します。クライアントが共通スライダーCAPTCHA検証に合格した場合、WAFは特定の時間範囲内のクライアントからの要求を許可します。この時間範囲の間、クライアントは検証をバイパスすることができる。デフォルトでは、時間範囲は30分です。クライアントがcommon slider CAPTCHA検証に失敗した場合、WAFはクライアントからの要求をブロックします。
sigchl	動的トークン認証を示します。 Web リクエストは署名される。クライアントがリクエストを送信すると、WAFが発行するWeb SDKがリクエストに対する署名を生成する。署名はリクエストと一緒に転送される。署名が生成され、検証された場合、リクエストはオリジンサーバーに送信される。署名の生成または検証に失敗した場合、クライアントが動的トークンを取得するためのコードブロックが返され、リクエストに再度署名する必要があります。
js	JavaScriptの検証を示す。WAFはクライアントにJavaScriptのコードを返します。JavaScriptのコードは、クライアントが使用するブラウザによって自動的に実行されます。クライアントがJavaScriptの検証を通過すると、WAFは特定の時間範囲内でクライアントからのリクエストを許可します。この時間範囲内であれば、クライアントは検証を回避することができます。デフォルトでは、時間範囲は30分です。クライアントがJavaScriptの検証に失敗した場合、WAFはクライアントからのリクエストをブロックする。
パス	許可アクションを示します。 WAFは、クライアントからのリクエストを許可し、リクエストを配信元サーバーに転送します。
captcha_strict_pass	クライアントが厳密なスライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。
captcha_pass	クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。
sigchl_pass	クライアントが動的トークン認証を渡し、WAFがクライアントからの要求を許可することを示します。
js_pass	クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。
マスク	WAFがオリジンサーバーから返された機密データをマスクし、その結果をクライアントに返すことを示します。この動作はデータ漏洩防止機能のみが対応しています。
continue	許可アクションを示します。継続フィールドの具体的な意味は、保護機能に基づいて異なります。詳細については、normalized_actionおよびwxbb_actionフィールドの説明をご参照ください。

必須フィールド

必須項目とは、WAFのログに必ず含まれる項目を指します。


フィールド	説明	サンプル値
acl_rule_type	トリガーされるルールの種類です。ルールは、ブラックリストまたはカスタム保護ポリシー（ACL）機能に対して作成されます。設定可能な値は以下のとおりです。 custom: カスタム保護ポリシー（ACL）機能に対して作成されるルールを示す。 blacklist: ブラックリスト機能に対して作成されるルールを示す。	custom
bypass_matched_ids	リクエストを許可するためにトリガーされるルールのID。ルールは、ホワイトリストルールまたはリクエストを許可するカスタム保護ルールにすることができます。リクエストを許可するために複数のルールが同時にトリガーされた場合、このフィールドにはすべてのルールのIDが記録されます。複数のIDはコンマ (,) で区切ります。	283531
cc_rule_type	トリガーされるルールのタイプ。ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。設定可能な値は以下のとおりです。 custom: カスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールを示します。 system: HTTP フラッドプロテクションルールを示す。	custom
content_type	要求されたコンテンツの種類。	application/x-www-form-urlencoded
final_action	WAFがリクエストに対して実行するアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha_strict: 厳密なスライダーCAPTCHA検証が実行されることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 sigchl: 動的トークン認証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。要求が保護機能を起動しない場合、そのフィールドは記録されない。たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。優先順位の高い順に、ブロック、厳格なスライダーCAPTCHA認証、共通スライダーCAPTCHA認証、動的トークン認証、JavaScript認証となります。	block
final_plugin	リクエストに対して final_action で指定されたアクションを実行する保護機能。設定可能な値は以下のとおりです。 waf: 保護ルールエンジン機能を示します。 deeplearning: 深層学習エンジン機能を示します。 dlp: データ漏洩防止機能を示します。 account: アカウントのセキュリティ機能を示します。 normalized: ポジティブなセキュリティモデル機能を示します acl: ブラックリスト機能またはカスタム保護ポリシー (ACL) 機能を示します。 cc: HTTP flood protection 機能またはカスタムプロテクションポリシー (HTTP Flood Protection) 機能を示します。 antiscan: スキャン保護機能を示します。 scene: シナリオ固有の設定機能を示します。 antifraud: データリスクコントロール機能を示す。 bot_intelligence: ボットの脅威インテリジェンス機能を示します。 algorithm: 典型的なボット動作識別機能を示します。 wxbb: アプリ保護機能を示します。上記の保護機能を設定するには、Web Application Firewall consoleにログインし、左側のナビゲーションウィンドウで [保護設定] > [Webサイト保護] を選択します。 WAF保護機能の詳細については、「Webサイト保護の概要」をご参照ください。リクエストが保護機能をトリガーしない場合、フィールドは記録されません。たとえば、リクエストがリクエストを許可するルールに一致する場合、またはクライアントがスライダーCAPTCHA検証またはJavaScript検証に合格した場合、フィールドは記録されません。要求が複数の保護機能を同時にトリガーした場合、フィールドは記録され、で指定されたアクションを実行する保護機能のみを含む。 final_action.	ワフ
final_rule_id	リクエストに適用されるルールのID。ルールは、finish_actionフィールドに記録されるアクションを定義します。	115341
final_rule_type	リクエストに適用されるルールのサブタイプ。ルールはfinal_rule_idで示されます。たとえば、`final_plugin:waf`は`final_rule_type:sqli`と`final_rule_type:xss`をサポートしています。	xss/webshell
ホスト	リクエストのHostヘッダーフィールド。アクセスするドメイン名またはIPアドレスを示します。	api.example.com
http_cookie	リクエストのcookieヘッダーフィールド。クライアントに関するcookie情報を示します。	k1=v1;k2=v2
http_referer	リクエストのRefererヘッダーフィールド。リクエストに関するソースURL情報を示します。リクエストにソースURL情報が含まれていない場合、フィールドの値はハイフン (`-`) で表示されます。	http://example.com
http_user_agent	リクエストヘッダーのUser-Agentフィールド。このフィールドには、ブラウザとオペレーティングシステムに関する情報が含まれています。	Dalvik/2.1.0 (Linux; U; アンドロイド10; x86ビルド /QSR1.200715.002のために造られるアンドロイドSDK)
http_x_forward_for	リクエストヘッダーのX-Forwarded_For (XFF) フィールド。このフィールドは、HTTPプロキシまたは負荷分散デバイスを使用してwebサーバーに接続されているクライアントの送信元IPアドレスを識別するために使用されます。	47.100.XX.XX
https	リクエストが HTTPS リクエストであるかどうかを示します。設定可能な値は以下のとおりです。 on: HTTPSリクエスト off: HTTPリクエスト	on
一致した_host	WAFによって照合されるドメイン名。保護のためにドメイン名がWAFに追加されます。説明ワイルドカードドメインはWAFに追加でき、WAFはワイルドカードドメインと一致する場合があります。たとえば、ドメイン名 * .aliyun.comがWAFに追加され、d www.aliyun.comが要求された場合、WAFはドメイン名 * .aliyun.comと一致します。	*.aliyun.com
querystring	リクエスト内の照会文字列。クエリ文字列は、要求されたURLの疑問符 (?) に続く部分を参照します。	title=tm_content%3Darticle&pid=123
real_client_ip	リクエストを開始したクライアントの送信元IPアドレス。 WAFは、リクエストの分析に基づいて送信元IPアドレスを識別します。 WAFがクライアントの送信元IPアドレスを識別できない場合、フィールドの値はハイフン (`-`) で表示されます。たとえば、プロキシサーバーが使用されているか、リクエストヘッダーのIPフィールドが無効な場合、WAFはクライアントの実際のIPアドレスを識別できません。	192.0.XX.XX
remote_addr	WAFへの接続に使用されるIPアドレス。 WAFがクライアントに直接接続されている場合、このフィールドにはクライアントの送信元IPアドレスが記録されます。 Alibaba Cloud CDN (CDN) などのレイヤー7プロキシがWAFの前にデプロイされている場合、このフィールドにはプロキシのIPアドレスが記録されます。	198.51.XX.XX
remote_port	WAFへの接続に使用されるポート。 WAFがクライアントに直接接続されている場合、このフィールドにはクライアントのポートが記録されます。CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、このフィールドはプロキシのポートを記録します。	80
request_length	リクエスト内のバイト数。リクエストには、リクエスト行、リクエストヘッダー、リクエスト本文が含まれます。単位：バイト	111111
request_method	リクエスト方式。	GET
request_path	要求された相対パス。相対パスは、要求されたURLのドメイン名と疑問符 (?) の間の部分を参照します。相対パスにはクエリ文字列は含まれません。	/news/search.php
request_time_msec	WAFがリクエストを処理するのにかかる時間。単位：ミリ秒。	44
request_traceid	リクエストごとにWAFによって生成される一意の識別子。	7837b11715410386943437009ea1f0
server_protocol	WAFによって転送された要求に応答するためにオリジンサーバーによって使用されるプロトコルとバージョン。	HTTP/1.1
status	WAFによってクライアントに返されるHTTPステータスコード。例: 200。これは、リクエストが受信され、受け入れられたことを示します。	200
time	要求が開始された時点のこと。時刻は`yyyy-MM-ddTHH:mm:ss + 08:00`形式のISO 8601標準に従います。時間は UTC にする必要があります。	2018-05-02T16:03:59+08:00
upstream_addr	オリジンサーバーのIPアドレスとポート番号。形式は`IPアドレス: ポート`です。 MultipleペアIPのアドレスとポートcommasによって分離されている (、) 。	198.51。XX。XX:443
upstream_response_time	WAFによって転送されたリクエストに配信元サーバーが応答するのに必要な時間。 (単位：秒)	0.044
upstream_status	WAFからの要求に対する応答としてオリジンサーバーによって送信されるHTTPステータスコード。例: 200。これは、リクエストが受信され、受け入れられたことを示します。	200

オプションフィールド

ビジネス要件に基づいて、WAFログにオプションのフィールドを含めることができます。 WAF logs record only the optional fields that you enable.

オプションのフィールドを有効にすると、WAFログはより多くのストレージ容量を占有します。十分なログストレージ容量がある場合は、より多くのオプションフィールドを有効にすることを推奨します。これにより、ログをより包括的に分析できます。オプションフィールドの設定方法の詳細については、「ログ設定の変更」をご参照ください。


フィールド	説明	サンプル値
account_action	アカウントセキュリティルールがトリガーされた後にリクエストに対して実行されるアクション。値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
account_rule_id	トリガーされたアカウントセキュリティルールのID。	151235
account_test	アカウントセキュリティルールがトリガーされた後にリクエストに使用される保護モード。設定可能な値は以下のとおりです。真: 観測モード。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
acl_アクション	ブラックリストまたはカスタム保護ポリシー (ACL) 機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha_strict: 厳密なスライダーCAPTCHA検証が実行されることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 captcha_strict_pass: クライアントが厳密なスライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 captcha_pass: クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 js_pass: クライアントがJavaScriptの検証を通過し、WAFがクライアントからのリクエストを許可することを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
acl_rule_id	トリガーされるルールのID。ブラックリストまたはカスタム保護ポリシー (ACL) 機能のルールが作成されます。	151235
acl_test	ブラックリストまたはカスタム保護ポリシー (ACL) 機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
algorithm_action	通常のボット動作識別機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 captcha_pass: クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 js_pass: クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
algorithm_rule_id	トリガーされるルールのID。ルールは、典型的なボット動作識別機能のために作成される。	151235
algorithm_test	通常のボット動作識別機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: indicates the prevention mode. このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
不正防止_アクション	データリスク管理機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 pass: リクエストが許可されていることを示します。 block: リクエストがブロックされていることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
antifraud_test	データリスク管理機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
antiscan_アクション	スキャン保護機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
antiscan_rule_id	トリガーされるルールの ID。スキャン保護機能のルールが作成されます。	151235
antiscan_rule_type	トリガーされるルールのタイプ。スキャン保護機能のルールが作成されます。設定可能な値は以下のとおりです。 highfreq: web攻撃が頻繁に開始されるIPアドレスをブロックするルールを示します。 dirscan: ディレクトリトラバーサル攻撃に対して防御するルールを示します。 scantools: スキャナーのIPアドレスをブロックするルールを示します。 collaborative: 共同防衛ルールを示します。	highfreq
antiscan_test	スキャン保護機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
ブロック_アクション	重要 WAFのアップグレードにより、このフィールドは無効になりました。このフィールドは、final_pluginフィールドに置き換えられます。 block_actionフィールドがサービスで使用されている場合は、できるだけ早い機会にfinal_pluginに置き換えてください。リクエストをブロックするためにトリガーされるWAF保護機能。設定可能な値は以下のとおりです。 tmd: HTTPフラッド保護を示します。この値は、final_pluginのcc値に相当します。 waf: web攻撃保護を示します。この値は、final_pluginのwaf値に相当します。 acl: カスタム保護ポリシー機能を示します。この値は、final_pluginのacl値に相当します。 deeplearning: 深層学習エンジン機能を示します。この値は、final_pluginのdeeplearning値に相当します。 antiscan: スキャン保護を示します。この値は、final_pluginのantiscan値に相当します。 antifroud: データリスク管理を示します。この値は、final_pluginの不正防止値に相当します。 antibot: ボットの管理を示します。この値は、final_pluginのintelligence、algorithm、wxbb、およびscene値に相当します。	ワフ
body_bytes_sent	サーバーがクライアントに返すレスポンス本文のバイト数。レスポンスヘッダのバイト数はカウントされません。単位：バイト	1111
cc_アクション	HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 captcha_pass: クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 js_pass: クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
cc_rule_id	トリガーされるルールのID。ルールは、HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されます。	151234
cc_test	HTTPフラッド保護またはカスタム保護ポリシー (HTTPフラッド保護) 機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
deeplearning_action	深層学習エンジン機能に対して作成されたルールが発動された後、リクエストに対して実行されるアクション。値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
deeplearning_rule_id	トリガーされるルールのID。ルールは、深層学習エンジン機能用に作成されます。	151238
deeplearning_rule_型	トリガーされるルールのタイプ。ルールは、深層学習エンジン機能用に作成されます。設定可能な値は以下のとおりです。 xss: XSS攻撃に対して防御するルールを示します。 code_exec: 特定の攻撃に対して防御するルールを示します。攻撃はコード実行の脆弱性を悪用します。 webshell: webshellのアップロードに対して防御するルールを示します。 sqli: SQLインジェクションを防ぐルールを示します。 lfilei: ローカルファイルの包含に対して防御するルールを示します。 rfilei: リモートファイルのインクルージョンを防御するルールを示します。 other: その他の保護ルールを示します。	xss
deeplearning_test	深層学習エンジン機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
dlp_アクション	データ漏洩防止機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 mask: 機密データがマスクされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	マスク
dlp_rule_id	トリガーされるルールのID。データ漏えい防止機能のルールを作成します。	151245
dlp_test	データ漏えい防止機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
インテリジェンス_アクション	ボット脅威インテリジェンス機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha_strict: 厳密なスライダーCAPTCHA検証が実行されることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 captcha_strict_pass: クライアントが厳密なスライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 captcha_pass: クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 js_pass: クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
intelligence_rule_id	トリガーされるルールのID。ルールは、ボット脅威インテリジェンス機能用に作成されます。	152234
インテリジェンス_テスト	ボット脅威インテリジェンス機能用に作成されたルールがトリガーされた後、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
正規化された_アクション	ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 continue: リクエストが許可されていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
normalized_rule_id	トリガーされるルールのID。正のセキュリティモデル機能のルールが作成されます。	151266
normalized_rule_type	トリガーされるルールのタイプ。正のセキュリティモデル機能のルールが作成されます。設定可能な値は以下のとおりです。 User-Agent: User-Agentベースのベースラインルールを示します。リクエストヘッダーのUser-Agentフィールドがベースラインに準拠していない場合、攻撃が発生する可能性があります。この説明は、他のルールタイプに適用されます。リファラー: リファラーベースのベースラインルールを示します。 URL: URLベースのベースラインルールを示します。 Cookie: cookieベースのベースラインルールを示します。 Body: リクエストボディベースのベースラインルールを示します。	User-Agent
normalized_test	ポジティブなセキュリティモデル機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
region	WAFインスタンスが存在するリージョンのID。設定可能な値は以下のとおりです。 cn: 中国本土 int: 中国本土の外	cn
request_body	リクエスト本文。	私は暗号化されているかどうかにかかわらず、リクエストボディです!
scene_action	シナリオ固有の構成用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: リクエストがブロックされていることを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 sigchl: 動的トークン認証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 captcha_pass: クライアントが共通スライダーCAPTCHA検証に合格し、WAFがクライアントからの要求を許可することを示します。 sigchL_pass: クライアントが動的トークン認証をパスし、WAFがクライアントからの要求を許可することを示します。 js_pass: クライアントがJavaScript検証に合格し、WAFがクライアントからの要求を許可することを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
scene_id	トリガーされたルールのシナリオID。ルールは、シナリオ固有の構成用に作成されます。	151235
scene_rule_id	トリガーされるルールのID。ルールは、シナリオ固有の構成用に作成されます。	153678
scene_rule_type	トリガーされるルールのタイプ。ルールは、シナリオ固有の構成用に作成されます。設定可能な値は以下のとおりです。 bot_aialgo: インテリジェントな保護ルールを示します。 js:スクリプトベースのボットをブロックするルールを示します。 intelligence: ボットの脅威インテリジェンスまたはデータセンターのブラックリストに基づいて攻撃をブロックするルールを示します。 sdk: SDK統合アプリの異常なシグネチャと異常なデバイス動作をチェックするルールを示します。 cc: IP アドレスベースのスロットリングルールまたはカスタムセッションベースのスロットリングルールを示します。 sigchl: 動的トークン認証ルールを示します。	bot_aialgo
sigchl_invalid_type	動的トークン認証ルールによってリクエストが異常と見なされる理由。設定可能な値は以下のとおりです。 sigchl_invalid_sig: 署名検証が失敗したことを示します。次の情報は、障害の一般的な原因を示しています。リクエストには署名は含まれません。署名が追加されるときに渡されるパラメーターは、WAFによって受信されるパラメーターとは異なります。 sigchl_is_replay: 署名のタイムスタンプが異常であることを示します。リプレイ攻撃が発生する可能性があります。 sigchl_is_driver: リクエストがWebDriver攻撃リクエストと見なされることを示します。	sigchl_invalid_sig
scene_test	シナリオ固有の構成用に作成されたルールがトリガーされた後、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
server_port	要求された宛先ポート。	443
ssl_cipher	リクエストで使用される暗号化スイート。	ECDHE-RSA-AES128-GCM-SHA256
ssl_protocol	リクエストで使用されるSSLまたはTLSプロトコルとバージョン。	TLSv1.2
ua_ブラウザ	リクエストを開始するブラウザの名前。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	ie9
ua_browser_ファミリー	ブラウザが属するファミリ。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	internet explorer
ua_browser_type	リクエストを開始するブラウザーのタイプ。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	web_browser
ua_browser_version	リクエストを開始するブラウザのバージョン。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	9.0
ua_device_type	リクエストを開始するクライアントのデバイスタイプ。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	computer
ua_os	要求を開始するクライアントのオペレーティングシステム。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	windows_7
ua_os_ファミリー	クライアントのオペレーティングシステムが属するファミリ。重要 2021年12月15日以降、このフィールドはWAFでサポートされなくなりました。 [ログ設定] ページでフィールドを選択しても、このフィールドは記録されません。リクエストのUser-Agentフィールドに関する情報を取得するには、必須フィールドhttp_user_agentを使用することを推奨します。詳細は、「http_user_agent」をご参照ください。	windows
ユーザー_id	WAFインスタンスが属するAlibaba CloudアカウントのID。	17045741 ********
waf_action	保護ルールエンジン機能用に作成されたルールがトリガーされた後に、リクエストに対して実行されるアクション。値はblockとして固定され、リクエストがブロックされていることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
waf_rule_id	トリガーされるルールのID。保護ルールエンジン機能のルールが作成されます。	113406
waf_rule_type	トリガーされるルールのタイプ。ルールは、保護ルールエンジン機能に対して作成されます。設定可能な値は以下のとおりです。 xss: XSS攻撃に対して防御するルールを示します。 code_exec: 特定の攻撃を防御するルールを示します。攻撃はコード実行の脆弱性を悪用します。 webshell: webshellのアップロードに対して防御するルールを示します。 sqli: SQLインジェクションを防ぐルールを示します。 lfilei: ローカルファイルの包含に対して防御するルールを示します。 rfilei: リモートファイルの包含を防ぐルールを示します。 other: その他の保護ルールを示します。	xss
waf_test	保護ルールエンジン機能用に作成されたルールがトリガーされた後に、リクエストに使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false
wxbb_アクション	アプリ保護機能用に作成されたルールがトリガーされた後にリクエストに対して実行されるアクション。設定可能な値は以下のとおりです。 block: 署名が検証に失敗したため、リクエストがブロックされたことを示します。 captcha: 共通スライダーCAPTCHA検証が実行されることを示します。 js: JavaScript検証が実行されることを示します。 continue: 署名が検証に合格したため、リクエストが許可されることを示します。 WAF保護アクションの詳細については、「アクションフィールドの説明」をご参照ください。	block
wxbb_invalid_wua	アプリ保護機能用に作成されたルールに基づいて、リクエストが異常と見なされる理由。設定可能な値は以下のとおりです。 wxbb_simulator: シミュレータが使用されていることを示します。 wxbb_proxy: プロキシが使用されていることを示します。 wxbb_root: ルート化されたデバイスが使用されていることを示します。 wxbb_hook: フックが使用されていることを示します。 wxbb_antireplay: リプレイ攻撃が発生したことを示します。リプレイ攻撃は、署名文字列`wToken`を使用します。 wxbb_virtual: Anti-Bot SDK統合アプリ用にマルチボクシングが設定されていることを示します。 wxbb_debugged: デバイスがデバッグモードであることを示します。 wxbb_invalid_sign: 署名検証が失敗したことを示します。次の情報は、障害の一般的な原因を示しています。リクエストには署名は含まれません。署名が追加されるときに渡されるパラメーターは、WAFによって受信されるパラメーターとは異なります。たとえば、パラメーター`a=1&b=2`は渡されますが、WAFが受け取るパラメーターは`b=2&a=1`です。渡されたパラメーターの内容はエンコードされませんが、WAFによって受信された内容はBase64-encodedされます。	wxbb_invalid_sign
wxbb_rule_id	トリガーされるルールのID。アプリ保護機能のルールが作成されます。	156789
wxbb_test	アプリ保護機能用に作成されたルールがトリガーされた後に、リクエストに対して使用される保護モード。設定可能な値は以下のとおりです。 true: 観察モードを示します。このモードでは、ログが記録されます。ただし、ブロックなどの保護アクションはトリガーされません。 false: 予防モードを示します。このモードでは、WAFは保護ルールに一致するリクエストに対してブロックなどの保護アクションを実行します。	false

First letter of a field name	フィールド
a	アカウント関連分野: account_action \| account_rule_id \| account_test アクセス制御リスト（ACL）関連フィールド: acl_action \| acl_rule_id \| acl_rule_type \| acl_test アルゴリズム関連フィールド: algorithm_action \| algorithm_rule_id \| algorithm_test データリスク管理関連分野: antifraud_action \| antifraud_test スキャン保護関連分野: antiscan_action \| antiscan_rule_id \| antiscan_rule_type \| antiscan_test
b	保護タイプフィールド: block_action サーバーからクライアントに返されるレスポンス本文のバイトフィールド: body_bytes_sent リクエストを許可するルールのIDフィールド: bypass_matched_ids
c	HTTPフラッド保護関連フィールド: cc_action \| cc_rule_id \| cc_rule_type \| cc_test Content typeフィールド: content_type
d	ディープラーニングエンジン関連フィールド: deeplearning_action \| deeplearning_rule_id \| deeplearning_rule_type \| deeplearning_test データ漏洩防止関連フィールド: dlp_action \| dlp_rule_id \| dlp_test
f	最終関連分野: final_action \| final_plugin \| final_rule_id \| final_rule_type
h	ホストフィールド: host HTTP関連分野: http_cookie \| http_referer \| http_user_agent \| http_x_forwarded_for \| https
i	ボットスレットインテリジェンス関連分野: intelligence_action \| intelligence_rule_id \| intelligence_test
m	WAで保護されているドメイン名と一致した場合のフィールド: matched_host
n	ポジティブセキュリティモデル関連分野: normalized_action \| normalized_rule_id \| normalized_rule_type \| normalized_test
q	クエリ文字列フィールド: querystring
r	実際のIPアドレスのフィールド: real_client_ip リージョンIDフィールド: Region 遠隔関連分野: remote_addr \| remote_port リクエスト関連分野: request_body \| request_length \| request_method \| request_path \| request_time_msec \| request_traceid
s	シナリオに応じた設定を行うためのフィールド: scene_action \| scene_id \| scene_rule_id \| scene_rule_type \| scene_test サーバー関連分野: server_port \| server_protocol SSL関連フィールド: server_port \| server_protocol HTTPステータスコードに対応するフィールド: status リクエスト例外の原因に関するフィールド: sigchl_invalid_type
t	リクエスト時間フィールド: time
u	ブラウザー関連分野: ua_browser \| ua_browser_family \| ua_browser_type \| ua_browser_version クライアントデバイスの種類に応じたフィールド: ua_device_type オペレーティングシステム関連のフィールド: ua_os \| ua_os_family オリジンサーバー関連のフィールド: upstream_addr \| upstream_response_time \| upstream_status アカウントIDフィールド: user_id
w	WAF関連のフィールド: waf_action \| waf_rule_id \| waf_rule_type \| waf_test アプリ保護関連分野: wxbb_action \| wxbb_invalid_wua \| wxbb_rule_id \| wxbb_test