メインコンテンツに移動

操作マニュアル

operation manual

WAF のログについて

WAF の検出ログの確認方法

1

コントロールパネルにて【Web】>【公開サイト】>【WAF】とクリックします

 

2

「ログ詳細」の【表示】をクリックします

 

3

画面左上のプルダウンメニューから対象期間(本日、今月、先月)を選択します

4

検知している場合は、詳細が表示されます

 

日時 クライアントから接続された時刻
動作 MONITOR:監視(ログには残りますが、リクエストは拒否しません)
BLOCK:拒否(リクエストを拒否し、検出メッセージをクライアントに応答します)
クライアントホスト クライアントの IP アドレス
メソッド HTTP の要求メソッド( GET、POST 等)
URL 接続先 URL
検出シグネチャ シグネチャ名

WAF のログのダウンロード方法

1

FTP アカウントを作成し、ウェブサーバーの "/log" ディレクトリに FTP 接続します

※ご利用いただく FTP アカウントのログインディレクトリは、"/" または "/log" になっている必要があります。

2

必要とする WAF のログを探し、お使いの PC へダウンロードします

"/log" ディレクトリ配下の「waf-detect.log」が当日分、「waf-detect.log.yyyymm」が一か月分のログファイルとなります。

※ WAF のログは 3 ヶ月前まで保存されています。それより過去のログは自動で削除されますので、必要な場合はお客さまにてダウンロードして保存してください。

ログの保存ディレクトリ "/log" やログファイルの名前を変更(リネーム)した場合、 WAF が正常に機能しなくなりますのでご注意ください。

 

コントロールパネルから WAF のログをダウンロードする方法

1

コントロールパネルにて【Web】>【公開サイト】>【WAF】>【表示】とクリックします

 

2

画面左上のプルダウンメニューから対象期間(本日、今月、先月)を選択します

 

3

ログ情報が表示されたら【CSV 出力】をクリックします

 

4

お使いの PC 内に「waf-log.csv」というファイルがダウンロードされます

一般的には「ダウンロード」フォルダに格納されますが、設定等にも依存しますので、格納先はお客さま側でお調べください。

 

この操作を行うと、画面に表示されている対象期間内のログを CSV ファイルとしてコントロールパネルからダウンロードすることができます。
ただし、必要とする期間が対象期間(本日、今月、先月)以外である場合、この方法はお使いいただけません。予めご了承ください。

WAF のログの見方

お客さま領域の "/log" 配下に保存されている WAF のログは以下のフォーマットにて記録されています。

ログフォーマット

検出状況が1行ずつ記録されます。
以下の各項目がスペースで区切られています。
 

• 時刻

クライアントから接続された時刻を表します。
※仕様上、エポックタイム (1970/01/01 00:00:00(UTC))  からの秒数をミリ秒単位で表示します。


• 接続時間

クライアントとの接続時間をミリ秒単位で表します。


• クライアントホスト

クライアント(接続元)の IP アドレスです。


• 処理結果

常に TCP_MISS/000 となります。
 

• ファイルサイズ

転送したファイルのサイズ(単位はバイト)です。
(クライアントからサーバーに送られてくるデータサイズ)
 

• 要求メソッド

HTTP の要求メソッド (GET, POST 等)  を表します。
 

• URL

接続先の URL を表します。
 

• ユーザ名

常に "-"  となります。
 

• hierarchy code

"DIRECT/接続先 IPアドレス" を表します。
 

• Content-Type

送受信するファイルの Content-Type を表します。
利用できない場合は "-"  となります。
 

・検出情報

DETECT-STAT:[検査結果]:[検出名]::[検出文字列]:[検出文字列(全体)]:

検出結果 WAF (攻撃検出)
検出名 攻撃検出名称
- シグネチャ検査:
RULE_SIG/[検出箇所]/[名前]/[シグネチャファイル]/[シグネチャ ID]/[シグネチャ名]

- URL デコードエラー:
RULE_URLDECODE/[検出箇所]/[名前]

- パラメータ数の上限値の制限:
RULE_PARAMS_NUM/[パラメータ数の上限値]

・[検出箇所]は以下のいずれかとなります。
 PART_PARAM_NAME|[種別]  ⇒ パラメータ変数の名前
 PART_PARAM_VALUE|[種別] ⇒ パラメータ変数の値
 PART_URL   ⇒ URL
 PART_PATH ⇒ パス名
 PART_METHOD ⇒ メソッド
 PART_REQHEAD ⇒ 要求ヘッダ
 PART_CLIENT_ADDR ⇒ クライアントアドレス
 PART_SERVER_ADDR ⇒ サーバーアドレス
 PART_POST_FILENAME ⇒ 送信ファイル名 (filename 変数で指定される名前)

・[名前]は、パラメータ変数、ヘッダフィールド名を表示します。

・[シグネチャファイル]は、 OFFICIAL/CUSTOM のいずれかで表記されます。

・[種別]は、 PART_GET_PARAM(クエリストリング)、PART_REQBODY (要求本文)、PART_COOKIE (クッキー)のいずれかです。
検出文字列 検出した文字 (シグネチャ検査で検出した場合)
検出文字列(全体) 検出した箇所の文字列全体 (パラメータ、要求ヘッダで検出した場合)
290 バイトまで記録されます。

・動作

ACTION:[動作]:

動作 ・MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません)
・BLOCK    ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します)


・判定情報

JUDGE:[判定]:[監視 URL の設定]:

判定 MONITOR ⇒ 監視 (ログには残りますが、リクエストは拒否しません)BLOCK       ⇒ 拒否 (リクエストを拒否し、検出メッセージをクライアントに応答します)
監視URLの設定 0 ⇒ 固定となります

・検索キー

SEARCH-KEY:[検索キー]:

検索キー 時刻 (エポックタイム) .apache コネクション ID で表します。

更新日 / 2019 年 9 月 5 日

【関連リンク】

SV-Basic

お問い合わせ

サポートセンターにお問い合わせいただける窓口をご案内します。

お問い合わせ窓口