メインコンテンツに移動

操作マニュアル

operation manual

WAF のログの見方

お客様領域の「/log」配下に保存されている WAF のログは以下のフォーマットにて記録されています。

ログフォーマット

検出状況が 1 行ずつ記録されます。
以下の各項目がスペースで区切られています。

時刻

クライアントから接続された時刻を表します。
※仕様上、エポックタイム (1970/01/01 00:00:00(UTC)) からの秒数をミリ秒単位で表示します。

接続時間

クライアントとの接続時間をミリ秒単位で表します。

クライアントホスト

クライアント(接続元)の IP アドレスです。

処理結果

常に TCP_MISS/000 となります。

ファイルサイズ

転送したファイルのサイズ(単位はバイト)です。
(クライアントからサーバーに送られてくるデータサイズ)

要求メソッド

HTTP の要求メソッド(GET, POST 等) を表します。

URL

接続先の URL を表します。

ユーザ名

常に "-"  となります。

hierarchy code

"DIRECT/接続先 IP アドレス" を表します。

Content-Type

送受信するファイルの Content-Type を表します。利用できない場合は "-"  となります。

検出情報

DETECT-STAT:[検査結果]:[検出名]::[検出文字列]:[検出文字列(全体)]:

検出結果 WAF(攻撃検出)
検出名 攻撃検出名称
- シグネチャ検査:
RULE_SIG/[検出箇所]/[名前]/[シグネチャファイル]/[シグネチャ ID]/[シグネチャ名]

- URLデコードエラー:
RULE_URLDECODE/[検出箇所]/[名前]

- パラメータ数の上限値の制限:
RULE_PARAMS_NUM/[パラメータ数の上限値]

・[検出箇所]は以下のいずれかとなります。
 PART_PARAM_NAME|[種別]  ⇒ パラメータ変数の名前
 PART_PARAM_VALUE|[種別] ⇒ パラメータ変数の値
 PART_URL   ⇒ URL
 PART_PATH ⇒ パス名
 PART_METHOD ⇒ メソッド
 PART_REQHEAD ⇒ 要求ヘッダ
 PART_CLIENT_ADDR ⇒ クライアントアドレス
 PART_SERVER_ADDR ⇒ サーバーアドレス
 PART_POST_FILENAME ⇒ 送信ファイル名 (filename 変数で指定される名前)

・[名前]は、パラメータ変数、ヘッダフィールド名を表示します。

・[シグネチャファイル]は、 OFFICIAL/CUSTOMの いずれかで表記されます。

・[種別]は、 PART_GET_PARAM(クエリストリング)、PART_REQBODY (要求本文)、PART_COOKIE (クッキー)のいずれかです。
検出文字列 検出した文字列(シグネチャ検査で検出した場合)
検出文字列(全体) 検出した箇所の文字列全体(パラメータ、要求ヘッダで検出した場合)
290 バイトまで記録されます。

動作

ACTION:[動作]:

動作 ・MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません)
・BLOCK    ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します)

判定情報

JUDGE:[判定]:[監視URLの設定]:

判定 MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません)
BLOCK ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します)
監視URLの設定 0 ⇒ 固定となります

検索キー

SEARCH-KEY:[検索キー]:

検索キー 時刻(エポックタイム).apacheコネクション ID で表します。

更新日 / 2020 年 9 月 29 日

【関連リンク】

CHM-2Z

お問い合わせ

サポートセンターにお問い合わせいただける窓口をご案内します。

お問い合わせ窓口