動的フィールド
動的フィールドは、通常、HTTPリクエストに関する脅威インテリジェンスに関連する計算または派生値を表します。
Cloudflareルール言語は、これらの動的フィールドをサポートしています。
cf.bot_management.verified_bot Boolean
true の場合、このフィールドはリクエストが既知の良好なボットまたはクローラーから発信されたことを示します。cf.client.bot と同じ情報を提供します。
cf.verified_bot_category String
確認済みボットのタイプと目的を提供します。詳細については、Verified Bot Categoriesを参照してください。
cf.bot_management.score Number
リクエストがボットから発信される可能性を1〜99のスコアで表します。低いスコアはリクエストがボットまたは自動エージェントから来ていることを示し、高いスコアは人間がリクエストを発行したことを示します。
cf.bot_management.static_resource Boolean
cf.bot_management.score を使用してルールを作成する際に静的リソースを含めるべきかどうかを示します。詳細については、Static resource protectionを参照してください。
cf.bot_management.ja3_hash String
潜在的なボットリクエストを特定するのに役立つSSL/TLSフィンガープリントを提供します。詳細については、JA3/JA4 Fingerprintを参照してください。
cf.bot_management.ja4 String
潜在的なボットリクエストを特定するのに役立つSSL/TLSフィンガープリントを提供します。詳細については、JA3/JA4 Fingerprintを参照してください。
cf.bot_management.js_detection.passed Boolean
訪問者が以前にJS検出に合格したかどうかを示します。詳細については、JavaScript detectionsを参照してください。
cf.bot_management.detection_ids Array<Number>
リクエストに対して行われたボット管理のヒューリスティック検出に関連するIDのリスト(同じリクエストに複数のヒューリスティック検出がある場合があります)。このフィールドを使用して特定のヒューリスティックを明示的に一致させるか、ルール内でヒューリスティックを除外します。
例:
any(cf.bot_management.detection_ids[*] eq 33554817)cf.client.bot Boolean
true の場合、このフィールドはリクエストが既知の良好なボットまたはクローラーから発信されたことを示します。cf.bot_management.verified_bot と同じ情報を提供します。
cf.edge.server_ip IP Address
HTTPリクエストが解決されたグローバルネットワークのIPアドレスを表します。このフィールドは、BYOIP customers に対してのみ意味があります。
cf.edge.server_port Number
Cloudflareグローバルネットワークがリクエストを受信したポート番号を表します。このフィールドを使用して特定のポートでのトラフィックをフィルタリングします。値は1〜65535の範囲のポート番号です。
cf.hostname.metadata String
SSL for SaaS顧客によって設定されたホスト名ごとのカスタムメタデータ JSONオブジェクトの文字列表現を返します。
cf.random_seed Bytes
uuidv4()関数で使用できるリクエストごとのランダムバイトを返します。
cf.ray_id String
現在のリクエストのRay ID。Cloudflareを通過するすべてのリクエストに付与される識別子であるRay IDです。
cf.threat_score Number
0〜100のCloudflare脅威スコアを表し、0は低リスクを示します。10を超える値はスパマーやボットを示し、40を超える値はインターネット上の悪意のある行為者を特定します。60を超える値は稀です。一般的な推奨は、スコアが10を超えるリクエストに挑戦し、50を超えるものをブロックすることです。
cf.tls_cipher String
Cloudflareへの接続の暗号。
例:
"AES128-SHA256"cf.tls_client_auth.cert_revoked Boolean
リクエストが有効だが取り消されたクライアント証明書を提示した場合、true を返します。true の場合、cf.tls_client_auth.cert_verified フィールドも true です。
cf.tls_client_auth.cert_verified Boolean
リクエストが有効なクライアント証明書を提示した場合、true を返します。また、取り消された有効な証明書が含まれているリクエストでも true を返します(cf.tls_client_auth.cert_revoked を参照)。
cf.tls_client_auth.cert_presented Boolean
リクエストが証明書(有効または無効)を提示した場合、true を返します。
cf.tls_client_auth.cert_issuer_dn String
リクエストに含まれる証明書を発行した認証局(CA)の識別名(DN)。
例:
"CN=Access Testing CA,OU=TX,O=Access Testing,L=Austin,ST=Texas,C=US"cf.tls_client_auth.cert_subject_dn String
リクエストに含まれる証明書の所有者(またはリクエスター)の識別名(DN)。
例:
"CN=James Royal,OU=Access Admins,O=Access,L=Austin,ST=Texas,C=US"cf.tls_client_auth.cert_issuer_dn_rfc2253 String
リクエストに含まれる証明書を発行した認証局(CA)の識別名(DN)をRFC 2253 ↗形式で示します。
例:
"CN=Access Testing CA,OU=TX,O=Access Testing,L=Austin,ST=Texas,C=US"cf.tls_client_auth.cert_subject_dn_rfc2253 String
リクエストに含まれる証明書の所有者(またはリクエスター)の識別名(DN)をRFC 2253 ↗形式で示します。
例:
"CN=James Royal,OU=Access Admins,O=Access,L=Austin,ST=Texas,C=US"cf.tls_client_auth.cert_issuer_dn_legacy String
リクエストに含まれる証明書を発行した認証局(CA)の識別名(DN)をレガシーフォーマットで示します。
例:
"/C=US/ST=Texas/L=Austin/O=Access Testing/OU=TX/CN=Access Testing CA"cf.tls_client_auth.cert_subject_dn_legacy String
リクエストに含まれる証明書の所有者(またはリクエスター)の識別名(DN)をレガシーフォーマットで示します。
例:
"/C=US/ST=Texas/L=Austin/O=Access/OU=Access Admins/CN=James Royal"cf.tls_client_auth.cert_serial String
リクエストに含まれる証明書のシリアル番号。
例:
"527E0F20A20EA2A4146C78390F34CE7AF0878CA4"cf.tls_client_auth.cert_issuer_serial String
リクエストに含まれる証明書の直接の発行者のシリアル番号。
例:
"2688201DBA77402EA87118876F2E1B24CF8B0395"cf.tls_client_auth.cert_fingerprint_sha256 String
リクエストに含まれる証明書のSHA-256フィンガープリント。
例:
"af363dc85bc942a892d3cee9796190fdb36d89cd588a4f1cb17c74a943439714"cf.tls_client_auth.cert_fingerprint_sha1 String
リクエストに含まれる証明書のSHA-1フィンガープリント。
例:
"933ad5282c560ae3f482a43ecd73bc9de878a190"cf.tls_client_auth.cert_not_before String
リクエストに含まれる証明書は、この日付以前は有効ではありません。
例:
"Mar 21 13:35:00 2022 GMT"cf.tls_client_auth.cert_not_after String
リクエストに含まれる証明書は、この日付以降は有効ではありません。
例:
"Mar 21 13:35:00 2023 GMT"cf.tls_client_auth.cert_ski String
リクエストに含まれる証明書のサブジェクトキー識別子(SKI)。
例:
"27846FAE6EAC4A8DAD9101B519CF1EB460242831"cf.tls_client_auth.cert_issuer_ski String
リクエストに含まれる証明書の直接の発行者のサブジェクトキー識別子(SKI)。
例:
"8204924CF49D471E855862706D889F58F6B784D3"cf.tls_client_extensions_sha1 String
Base64でエンコードされたTLSクライアント拡張のSHA-1フィンガープリント。
例:
"OWFiM2I5ZDc0YWI0YWYzZmFkMGU0ZjhlYjhiYmVkMjgxNTU5YTU2Mg=="cf.tls_client_hello_length Number
TLSハンドシェイク ↗で送信されるクライアントハローのメッセージの長さ。具体的には、クライアントハローのバイト列の長さです。
例:
508cf.tls_client_random String
TLSハンドシェイク ↗でクライアントが提供する32バイトのランダム値の値で、Base64でエンコードされています。詳細については、RFC 8446 ↗を参照してください。
例:
"YWJjZA=="cf.tls_version String
Cloudflareへの接続のTLSバージョン。
例:
"TLSv1.2"cf.waf.content_scan.has_obj Boolean
true の場合、リクエストには少なくとも1つのコンテンツオブジェクト ↗が含まれています。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.has_malicious_obj Boolean
true の場合、リクエストには少なくとも1つの悪意のあるコンテンツオブジェクトが含まれています。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.num_malicious_obj Integer
リクエストで検出された悪意のあるコンテンツオブジェクトの数(ゼロ以上)。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.has_failed Boolean
true の場合、ファイルスキャナーはリクエストで検出されたすべてのコンテンツオブジェクトをスキャンできませんでした。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.num_obj Integer
リクエストで検出されたコンテンツオブジェクトの数(ゼロ以上)。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.obj_sizes Array<Integer>
リクエストで検出されたコンテンツオブジェクトのファイルサイズの配列(バイト単位)、検出された順序で。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.obj_types Array<String>
リクエストで検出されたコンテンツオブジェクトのファイルタイプの配列。Cloudflareがコンテンツオブジェクトのファイルタイプを特定できない場合、obj_types 配列の対応する値は application/octet-stream になります。
詳細については、Uploaded content scanningを参照してください。
cf.waf.content_scan.obj_results Array<String>
リクエストで検出されたコンテンツオブジェクトのスキャン結果の配列。可能な値は clean, suspicious, infected, not scanned です。
詳細については、Uploaded content scanningを参照してください。
cf.waf.score Number
各WAF攻撃ベクターのスコアを単一のスコアに統合した1〜99のグローバルスコア。これは、攻撃パターンのバリアントを検出するための標準のWAF攻撃スコアです。
cf.waf.score.sqli Number
SQLインジェクション(SQLi)攻撃ベクターを分類する1から99の攻撃スコア。
cf.waf.score.xss Number
クロスサイトスクリプティング(XSS)攻撃ベクターを分類する1から99の攻撃スコア。
cf.waf.score.rce Number
コマンドインジェクションまたはリモートコード実行(RCE)攻撃ベクターを分類する1から99の攻撃スコア。
cf.waf.score.class String
WAF攻撃スコアに基づく現在のリクエストの攻撃スコアクラス。次のいずれかの値を持つことができます:attack、likely_attack、likely_clean、clean。
cf.worker.upstream_zone String
リクエストがワーカーから来ているかどうかを識別します。リクエストがワーカーから来ている場合、このフィールドにはそのワーカーのゾーン名が保持されます。それ以外の場合、cf.worker.upstream_zoneは空です。
The Bot Management Corporate Proxy field contains identified cloud-based corporate proxies and secure web gateways that are Enterprise-only, and provide outbound security services to their clients.
You can access the Corporate Proxy field in custom rules, rate limiting rules, or Workers to provide different security rules for traffic from these sources. You can also exempt them from rules using Bot Management scores.
not cf.bot_management.verified_botand not cf.bot_management.static_resourceand not cf.bot_management.corporate_proxyand cf.bot_management.score lt 30