WAF のログの見方
お客様領域の「/log」配下に保存されている WAF のログは以下のフォーマットにて記録されています。
ログフォーマット
検出状況が 1 行ずつ記録されます。
以下の各項目がスペースで区切られています。
時刻
クライアントから接続された時刻を表します。
※仕様上、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。
接続時間
クライアントとの接続時間をミリ秒単位で表します。
クライアントホスト
クライアント(接続元)の IP アドレスです。
処理結果
常に TCP_MISS/000 となります。
ファイルサイズ
転送したファイルのサイズ(単位はバイト)です。
(クライアントからサーバーに送られてくるデータサイズ)
要求メソッド
HTTP の要求メソッド(GET, POST 等) を表します。
URL
接続先の URL を表します。
ユーザ名
常に "-" となります。
hierarchy code
"DIRECT/接続先 IP アドレス" を表します。
Content-Type
送受信するファイルの Content-Type を表します。利用できない場合は "-" となります。
検出情報
DETECT-STAT:[検査結果]:[検出名]::[検出文字列]:[検出文字列(全体)]:
| 検出結果 | WAF(攻撃検出) |
|---|---|
| 検出名 | 攻撃検出名称 - シグネチャ検査: RULE_SIG/[検出箇所]/[名前]/[シグネチャファイル]/[シグネチャ ID]/[シグネチャ名] - URLデコードエラー: RULE_URLDECODE/[検出箇所]/[名前] - パラメータ数の上限値の制限: RULE_PARAMS_NUM/[パラメータ数の上限値] ・[検出箇所]は以下のいずれかとなります。 PART_PARAM_NAME|[種別] ⇒ パラメータ変数の名前 PART_PARAM_VALUE|[種別] ⇒ パラメータ変数の値 PART_URL ⇒ URL PART_PATH ⇒ パス名 PART_METHOD ⇒ メソッド PART_REQHEAD ⇒ 要求ヘッダ PART_CLIENT_ADDR ⇒ クライアントアドレス PART_SERVER_ADDR ⇒ サーバーアドレス PART_POST_FILENAME ⇒ 送信ファイル名 (filename 変数で指定される名前) ・[名前]は、パラメータ変数、ヘッダフィールド名を表示します。 ・[シグネチャファイル]は、 OFFICIAL/CUSTOMの いずれかで表記されます。 ・[種別]は、 PART_GET_PARAM(クエリストリング)、PART_REQBODY (要求本文)、PART_COOKIE (クッキー)のいずれかです。 |
| 検出文字列 | 検出した文字列(シグネチャ検査で検出した場合) |
| 検出文字列(全体) | 検出した箇所の文字列全体(パラメータ、要求ヘッダで検出した場合) 290 バイトまで記録されます。 |
動作
ACTION:[動作]:
| 動作 | ・MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません) ・BLOCK ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します) |
|---|
判定情報
JUDGE:[判定]:[監視URLの設定]:
| 判定 | MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません) BLOCK ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します) |
|---|---|
| 監視URLの設定 | 0 ⇒ 固定となります |
検索キー
SEARCH-KEY:[検索キー]:
| 検索キー | 時刻(エポックタイム).apacheコネクション ID で表します。 |
|---|
更新日 / 2020 年 9 月 29 日