重要: Fastly がこれまで提供してきた WAF は、2020年7月13日に発表の新しいインターフェイスと API を含む新バージョンに代わり、レガシー (旧) 製品となりました。旧バージョンをご利用いただいているすべての既存ユーザーは、引き続きサポートをご利用いただけます。Fastly WAF の新バージョンは、すべてのお客様にご利用いただくことができ、また2020年7月13日時点でデフォルトのバージョンとして新規のお客様に提供されます。旧バージョンの Fastly WAF をお使いのお客様は、新しい Fastly WAF にいつでもアップグレードいただけるので、support@fastly.com または Fastly アカウントチームまでご連絡ください。

悪意のあるトラフィックを監視、特定するための様々な WAF 関連のログ変数を利用する事が出来ます。これらの変数を通じて、リクエストに対して処理された Fastly WAF の動作を確認することが出来ます。

ログエンドポイントの設定

WAF を利用して悪意のあるトラフィックをモニタリングするために、リモートログストリーミングを設定して WAF 変数をログに取得して下さい。既存のログ配信設定を利用することや、新規のログ配信設定を作成することも可能です。ログから WAF の活動状況をモニタリングすることが出来ます。

OWASP ルール

ひとつのリクエストが複数の OWASP ルールに該当する場合もあります。デフォルトではログは vcl_deliver または vcl_log で記録されますが、 vcl_deliver または vcl_log でログが記録された場合は、リクエストが複数の OWASP ルールに該当していても、異常評価値 (anomaly score) の累積値と、最後に該当したルールの情報のみが記録されます。

waf_debug_log

waf_debug_log サブルーチンでは、ひとつのリクエストに対して発生した複数の OWASP ルールを、それぞれ個別のログとして記録することが出来ます。ログの配信設定をこのサブルーチンに設定するためには、以下の cURL コマンドを利用して、ログの placement パラメーターを waf_debug に設定する必要があります。

curl -X PUT -H 'Fastly-Key: FASTLY_API_TOKEN' -H 'Content-Type: application/json' 'https://api.fastly.com/service/<your Fastly service ID>/version/<version_id>/logging/<logging_integration>/<logging_name>' --data-binary '{"placement":"waf_debug"}'

waf_debug_log のログフォーマットはコントロールパネルの UI からのみ設定可能です。
waf_debug_log は vcl_miss と vcl_pass からコールされます。ログフォーマットにはリクエストヘッダー情報および WAF 変数を含めることが出来ます。レスポンスヘッダーの情報を含めるとエラーとなります。
<logging_integration> は、remote logging API にあるリストから設定可能です。

複数の OWASP ルールに該当するリクエストをトラックするために request_id を設定することを推奨します。:

set req.http.x-request-id = digest.hash_sha256(now randomstr(64) req.http.host req.url req.http.Fastly-Client-IP server.identity);

WAF 変数を利用する

悪意のあるトラフィックを監視、特定するための様々な WAF 関連のログ変数を利用する事が出来ます。これらの変数を通じて、リクエストに対して処理された次のような Fastly WAF の動作を確認することが出来ます。

Fastly WAF がリクエストを処理したかどうか Fastly WAF はオリジンサーバーへ転送されるリクエストのみを処理の対象とします。(例、キャッシュされていないコンテンツに対する MISS または PASS リクエスト)
リクエストにルールが該当したかどうか Fastly WAF がリクエストを処理した際に、設定されているルールセットに該当したかどうか
該当したルールの重要度 リクエストがルールに合致した場合、そのルールの重要度
リクエストに行った処理 (該当する場合) リクエストが OWASP ルールのしきい値に達した場合、Fastly WAF が行った処理 (ログに記録、またはブロック)

Fastly WAF の動作を確認するために、次の変数を利用することが出来ます。

変数	説明
`waf.executed`	リクエストが WAF により処理されたかどうかを示します。処理された場合は `1` (true) が、処理されていない場合は `0` (false) が記録されます。
`waf.blocked`	リクエストがルールにマッチし、ブロックに設定されている特定のルールに該当するかもしくは、ブロック設定にされている OWASP ルールのしきい値を超えた場合に `true` が設定されます。ブロックされた場合は `1` (true)、ブロックされていない場合は `0` (false) が記録されます。
`waf.logged`	リクエストがルールにマッチし、ロギングに設定されている特定のルールに該当するかもしくは、ロギングに設定されている OWASP ルールのしきい値を超えた場合に `true` が設定されます。アクティブ (ブロック) モードにおいては、`waf.blocked` が `true` の場合、こちらも `true` が記録されます。true の場合は `1`、false の場合は `0` で記録されます。
`waf.failures`	リクエストが WAF ルールセットの評価に失敗し、リクエストが WAF の処理をスキップした場合に `true` が記録されます。true の場合は `1` 、false の場合は `0` で記録されます。
`waf.logdata`	ルールに該当した原因となったリクエストの箇所が記録されます。そのため、ルールにより記録される内容は異なります。
`waf.message`	ルールに該当するための一般的な条件。例えば `SLR: Arbitrary File Upload in Wordpress Gravity Forms plugin`。
`waf.rule_id`	ルールの ID。
`waf.severity`	ルールの重要度。`0` が一番高く、`7` が一番低い値です。`99` はリクエストがどのルールにも該当しなかったなど、重要度が適用されないことを示します。
`waf.anomaly_score`	複数の OWASP ルールに該当した場合に、スコアの累積値が記録されます。詳細は OWASP カテゴリースコア変数を参照して下さい。
`waf.passed`	リクエストがどの WAF ルールにも該当しなかったことを示します。true の場合は `1` 、false の場合は `0` で記録されます。`waf.passed` は `vcl_deliver` と `vcl_log` で読み込むことが出来ますが、 `waf_debug_log` で読み込むことは出来ません。この値は WAF ルールセットの処理を完了した後に設定されます。

OWASP カテゴリースコア変数

特定のリクエストが OWASP のルールで処理される際、ひとつのリクエストが異なる攻撃カテゴリーからなる複数のルール ID に該当する可能性があります。OWASP カテゴリースコア変数は、リクエストが該当したカテゴリーごとのスコアの累積値を記録します。この情報は攻撃カテゴリーごとの最低値、平均値、最大値を把握するために利用され、それぞのれカテゴリーごとに異なるしきい値を設定することが可能です。アクティブ (ブロック) モードにおいては、リクエストがカテゴリーごとのしきい値を超えた場合にリクエストがブロックされます。

waf.sql_injection_score
waf.rfi_score
waf.lfi_score
waf.rce_score
waf.php_injection_score
waf.session_fixation_score
waf.http_violation_score
waf.xss_score

Additional resources:

Streaming logs

Fastly WAF のログ (旧バージョン)