Managed WAFのログ解析機能において、Rawログのフィールドに表示される各項目の意味を教えてください。
Managed WAF, 運用
2019年7月8日 (2025年9月9日:更新)
Managed WAFのログ解析機能における、Rawログの主な項目とその意味は、以下の通りです。
参考:チュートリアル – Managed WAF – ログ解析
1.通信関連のログの場合
| 項目 | 意味 |
| date | 日付が表示されます。 |
| time | 時刻が表示されます。 |
| log_id | 内部的に使用するログのIDが表示されます。 |
| msg_id | 内部的に使用するメッセージのIDが表示されます。 |
| timezone | Managed WAFのタイムゾーンが表示されます。 |
| type | ログの種類を表します。通信関連のログの場合【traffic】と出力されます。 |
| subtype | 【http】もしくは【https】が表示されます。 |
| pri | ログのpriorityが表示されます。通信関連のログの場合【notice】と出力されます。 |
| proto | IPヘッダに記載されるプロトコルが表示されます。 |
| service | 【http】もしくは【https/tls1.x】が表示されます。
※xはTLSのバージョンとなります。 |
| status | 通信関連のログ出力で通信が成功した場合【success】、失敗した場合【failure】と出力されます。 |
| reason | ステータスの理由が表示されます。 |
| policy | Managed WAFで通信にマッチしたServer Policy名が表示されます。 |
| src | 通信の送信元のIPアドレスが表示されます。 |
| src_port | 通信の送信元のPort番号が表示されます。 |
| dst | 通信の宛先のIPアドレスが表示されます。 |
| dst_port | 通信の宛先のPort番号が表示されます。 |
| http_request_time | リクエストを処理するのに要した時間(ms)が表示されます。 |
| http_response_time | レスポンスを処理するのに要した時間(ms)が表示されます。 |
| http_request_bytes | リクエストのバイト数が表示されます。 |
| http_response_bytes | レスポンスのバイト数が表示されます。 |
| http_method | メソッドが表示されます。 |
| http_url | URLが表示されます。 |
| http_agent | User Agentが表示されます。 |
| http_retcode | ステータスコードが表示されます。 |
| msg | メッセージが表示されます。 |
| srccountry | 通信の送信元の国が表示されます。 |
| server_pool_name | 適用されたReal Server名が表示されます。 |
| http_host | Hostが表示されます。 |
| http_refer | Refererが表示されます。 |
| http_version | バージョンが表示されます。 |
| cipher_suite | TLS暗号スイートが表示されます。 |
※他の項目は内部的に使用する値が表示されます。
2.セキュリティ検知関連のログの場合
| 項目 | 意味 |
| date | 日付が表示されます。 |
| time | 時刻が表示されます。 |
| log_id | 内部的に使用するログのIDが表示されます。 |
| msg_id | 内部的に使用するメッセージのIDが表示されます。 |
| timezone | Managed WAFのタイムゾーンが表示されます。 |
| type | ログの種類を表します。セキュリティ検知関連のログの場合【attack】と出力されます。 |
| pri | ログのpriorityが表示されます。セキュリティ検知関連のログの場合【alert】と出力されます。 |
| main_type | セキュリティ検知内容の分類におけるメイン項目が表示されます。シグネチャ機能による検知の場合はSignature Detectionなどが表示されます。 |
| sub_type | セキュリティ検知内容の分類におけるサブ項目が表示されます。シグネチャ機能による検知の場合はKnown Exploitsなどが表示されます。 |
| severity_level | ログのseverity levelが表示されます。 |
| proto | IPヘッダに記載されるプロトコルが表示されます。 |
| service | クライアントサイドについて【http】もしくは【https/tls1.x】が表示されます。
※xはTLSのバージョンとなります。 |
| backend_service | サーバーサイドについて【http】、【https/tls1.x】、【tcp】もしくは【unknown】が表示されます。
※xはTLSのバージョンとなります。 |
| action | セキュリティ検知関連で検知時の以下いずれかの挙動を表します。
Alert_Deny・・・通信をブロック Alert・・・通信はブロックしません(シグネチャをAlert Onlyに設定した場合に出力されます) Erase・・・HTTPレスポンスから一部情報を消去して通信を行います ※尚、Monitorモードの場合は、Actionの出力に変化はありませんが動作は以下の通りになります。 Alert_Deny・・・通信はブロックしません Alert・・・通信はブロックしません Erase・・・情報を消去せず通信を行います |
| policy | Managed WAFで通信にマッチしたServer Policy名が表示されます。 |
| src | 通信の送信元のIPアドレスが表示されます。 |
| src_port | 通信の送信元のPort番号が表示されます。 |
| dst | 通信の宛先のIPアドレスが表示されます。 |
| dst_port | 通信の宛先のPort番号が表示されます。 |
| http_method | メソッドが表示されます。 |
| http_url | URLが表示されます。 |
| http_host | Hostが表示されます。 |
| http_agent | User Agentが表示されます。 |
| msg | メッセージが表示されます。 |
| signature_subclass | シグネチャのサブクラス名が表示されます。 |
| signature_id | シグネチャのIDが表示されます。 |
| signature_cve_id | シグネチャが対応しているCVEが表示されます。 |
| srccountry | 通信の送信元の国が表示されます。 |
| server_pool_name | 適用されたReal Server名が表示されます。 |
| monitor_status | 【Disabled】もしくは【Enabled】が表示されます。 |
| http_refer | Refererが表示されます。 |
| http_version | バージョンが表示されます。 |
| cipher_suite | TLS暗号スイートが表示されます。 |
| owasp_top10 | セキュリティ検知内容が関連するOWASP Top10のリスクカテゴリが表示されます。 |
| owasp_api_top10 | セキュリティ検知内容が関連するOWASP API Security Top 10のリスクカテゴリが表示されます。 |
※他の項目は内部的に使用する値が表示されます。