Managed WAFのログ解析機能において、Rawログのフィールドに表示される各項目の意味を教えてください。

Managed Firewall, Managed UTM, Managed WAF, 運用

2019年7月8日 (2021年5月3日:更新)

Managed WAFのログ解析機能における、Rawログの主な項目とその意味は、以下の通りです。

参考:チュートリアル – Managed WAF – ログ解析

1.Traffic関連のログの場合

項目 意味
date= 日付が表示されます。
time= 時刻が表示されます。
log_id= 内部的に使用するIDが表示されます。
msg_id= 内部的に使用するIDが表示されます。
vd= 内部的に使用するIDが表示されます。
timezone= Managed WAFのタイムゾーンが表示されます。
type= ログの種類を表します。Traffic関連のLogの場合【traffic】と出力されます
subtype= ログの種類を表します。Traffic関連のLogの場合【http】と出力されます
※HTTPS通信の場合も【http】となります
pri= ログのpriorityが表示されます。
proto= IPヘッダに記載されるプロトコルが表示されます。
service= 【http】もしくは【https】が表示されます。
status= トラフィックログ関連の出力で通信が成功した場合【success】、失敗した場合【failure】と出力されます。
reason= ステータスの理由が表示されます。
policy= Server Policyが表示されます。
src= 通信の送信元のIPアドレスが表示されます。
src_port= 通信の送信元のPort番号が表示されます。
dst= 通信の宛先のIPアドレスが表示されます。
dst_port= 通信の宛先のPort番号が表示されます。
http_request_time= リクエストを処理するのに要した時間(ms)が表示されます。
http_response_time= レスポンスを処理するのに要した時間(ms)が表示されます。
http_request_bytes= リクエストのバイト数が表示されます。
http_response_bytes= レスポンスのバイト数が表示されます。
http_method= HTTPメソッドが表示されます。
http_url= URLが表示されます。
http_agent= User Agentが表示されます。
http_retcode= HTTPリターンコードが表示されます。
msg= メッセージが表示されます。
srccountry= 通信の送信元の国が表示されます。
server_pool_name= Real Server Nameが表示されます。
http_host= hostが表示されます。

2.セキュリティ検知ログ関連のログの場合

項目 意味
date= 日付が表示されます。
time= 時刻が表示されます。
log_id= 内部的に使用するIDが表示されます。
msg_id= 内部的に使用するIDが表示されます。
vd= 内部的に使用するIDが表示されます。
timezone= Managed WAFのタイムゾーンが表示されます。
type= ログの種類を表します。WAFでの検知関連のLogの場合【attack】と出力されます
subtype= ログの種類を表します。セキュリティ検知ログの場合は【subtype=waf_signature_detection】など検知した機能が表示されます。
pri= ログのpriorityが表示されます。
trigger_policy= 攻撃を検知したポリシー名が表示されます。
severtity_level= ログのseverity levelが表示されます。
proto= IPヘッダに記載されるプロトコルが表示されます。
service= 【http】もしくは【https】が表示されます。
action= セキュリティ検知ログ関連の出力で検知時の以下いずれかの挙動を表します。

Alert_Deny・・・通信をブロック
Alert・・・通信はブロックしません(シグネチャをAlert Onlyに設定した場合に出力されます)
Erace・・・HTTPレスポンスから一部情報を消去して通信を行います

※尚、Monitorモードの場合は、Actionの出力に変化はありませんが動作は以下の通りになります。
Alert_Deny・・・通信はブロックしません
Alert・・・通信はブロックしません
Erace・・・情報を消去せず通信を行います

policy= Managed WAFで通信にマッチしたServerPolicyが表示されます。
src= 通信の送信元のIPアドレスが表示されます。
src_port= 通信の送信元のPort番号が表示されます。
dst= 通信の宛先のIPアドレスが表示されます。
dst_port= 通信の宛先のPort番号が表示されます。
http_method= HTTPメソッドが表示されます。
http_url= URLが表示されます。
http_host= hostが表示されます。
http_agent= User Agentが表示されます。
http_session_id= Session IDが表示されます。
msg= 検知時の内容が表示されます。
signature_subclass= シグネチャのサブクラス名が表示されます。
signature_id= シグネチャのIDが表示されます。
srccountry= 通信の送信元の国が表示されます。
server_pool_name= 適用されたServer Poolが表示されます。
false_positive_mitigation= SQLインジェクションについて、シグネチャに加え構文検査を行うかどうかを表します