WAF のログについて
WAF の検出ログの確認方法
1
コントロールパネルにて【Web】>【公開サイト】>【WAF】とクリックします
2
「ログ詳細」の【表示】をクリックします
3
画面左上のプルダウンメニューから対象期間(本日、今月、先月)を選択します
4
検知している場合は、詳細が表示されます
| 日時 | クライアントから接続された時刻 |
|---|---|
| 動作 | MONITOR:監視(ログには残りますが、リクエストは拒否しません) BLOCK:拒否(リクエストを拒否し、検出メッセージをクライアントに応答します) |
| クライアントホスト | クライアントの IP アドレス |
| メソッド | HTTP の要求メソッド( GET、POST 等) |
| URL | 接続先 URL |
| 検出シグネチャ | シグネチャ名 |
WAF のログのダウンロード方法
1
FTP アカウントを作成し、ウェブサーバーの "/log" ディレクトリに FTP 接続します
※ご利用いただく FTP アカウントのログインディレクトリは、"/" または "/log" になっている必要があります。
2
必要とする WAF のログを探し、お使いの PC へダウンロードします
"/log" ディレクトリ配下の「waf-detect.log」が当日分、「waf-detect.log.yyyymm」が一か月分のログファイルとなります。
※ WAF のログは 3 ヶ月前まで保存されています。それより過去のログは自動で削除されますので、必要な場合はお客さまにてダウンロードして保存してください。
ログの保存ディレクトリ "/log" やログファイルの名前を変更(リネーム)した場合、 WAF が正常に機能しなくなりますのでご注意ください。
コントロールパネルから WAF のログをダウンロードする方法
1
コントロールパネルにて【Web】>【公開サイト】>【WAF】>【表示】とクリックします
2
画面左上のプルダウンメニューから対象期間(本日、今月、先月)を選択します
3
ログ情報が表示されたら【CSV 出力】をクリックします
4
お使いの PC 内に「waf-log.csv」というファイルがダウンロードされます
一般的には「ダウンロード」フォルダに格納されますが、設定等にも依存しますので、格納先はお客さま側でお調べください。
この操作を行うと、画面に表示されている対象期間内のログを CSV ファイルとしてコントロールパネルからダウンロードすることができます。
ただし、必要とする期間が対象期間(本日、今月、先月)以外である場合、この方法はお使いいただけません。予めご了承ください。
WAF のログの見方
お客さま領域の "/log" 配下に保存されている WAF のログは以下のフォーマットにて記録されています。
ログフォーマット
検出状況が1行ずつ記録されます。
以下の各項目がスペースで区切られています。
• 時刻
クライアントから接続された時刻を表します。
※仕様上、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
• 接続時間
クライアントとの接続時間をミリ秒単位で表します。
• クライアントホスト
クライアント(接続元)の IP アドレスです。
• 処理結果
常に TCP_MISS/000 となります。
• ファイルサイズ
転送したファイルのサイズ(単位はバイト)です。
(クライアントからサーバーに送られてくるデータサイズ)
• 要求メソッド
HTTP の要求メソッド (GET, POST 等) を表します。
• URL
接続先の URL を表します。
• ユーザ名
常に "-" となります。
• hierarchy code
"DIRECT/接続先 IPアドレス" を表します。
• Content-Type
送受信するファイルの Content-Type を表します。
利用できない場合は "-" となります。
・検出情報
DETECT-STAT:[検査結果]:[検出名]::[検出文字列]:[検出文字列(全体)]:
| 検出結果 | WAF (攻撃検出) |
|---|---|
| 検出名 | 攻撃検出名称 - シグネチャ検査: RULE_SIG/[検出箇所]/[名前]/[シグネチャファイル]/[シグネチャ ID]/[シグネチャ名] - URL デコードエラー: RULE_URLDECODE/[検出箇所]/[名前] - パラメータ数の上限値の制限: RULE_PARAMS_NUM/[パラメータ数の上限値] ・[検出箇所]は以下のいずれかとなります。 PART_PARAM_NAME|[種別] ⇒ パラメータ変数の名前 PART_PARAM_VALUE|[種別] ⇒ パラメータ変数の値 PART_URL ⇒ URL PART_PATH ⇒ パス名 PART_METHOD ⇒ メソッド PART_REQHEAD ⇒ 要求ヘッダ PART_CLIENT_ADDR ⇒ クライアントアドレス PART_SERVER_ADDR ⇒ サーバーアドレス PART_POST_FILENAME ⇒ 送信ファイル名 (filename 変数で指定される名前) ・[名前]は、パラメータ変数、ヘッダフィールド名を表示します。 ・[シグネチャファイル]は、 OFFICIAL/CUSTOM のいずれかで表記されます。 ・[種別]は、 PART_GET_PARAM(クエリストリング)、PART_REQBODY (要求本文)、PART_COOKIE (クッキー)のいずれかです。 |
| 検出文字列 | 検出した文字 (シグネチャ検査で検出した場合) |
| 検出文字列(全体) | 検出した箇所の文字列全体 (パラメータ、要求ヘッダで検出した場合) 290 バイトまで記録されます。 |
・動作
ACTION:[動作]:
| 動作 | ・MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません) ・BLOCK ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します) |
|---|
・判定情報
JUDGE:[判定]:[監視 URL の設定]:
| 判定 | MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません)BLOCK ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します) |
|---|---|
| 監視URLの設定 | 0 ⇒ 固定となります |
・検索キー
SEARCH-KEY:[検索キー]:
| 検索キー | 時刻 (エポックタイム) .apache コネクション ID で表します。 |
|---|
更新日 / 2022 年 9 月 29 日