Атакуют рекламные боты

Отключаете бесплатный SSL, который выдается со стороны хостинга. Ставите режим Full + самоподписной SSL - боты идут через клауд.
Ну или же full strict и сертификат от клауда прописываете на сайте.

После этих действий увидите в логах клауда своих ботов.

И вижу есть еще какая-то сетка ботов , тоже идут по меткам UTM. Но вебвизор их не определяет (ip сеть). Нашел на какую страницу они идут и добавил ее в блоки CF. Кого-то вроде стал вылавливать ( AS213220 DATA-CHEAP-AS  Есть упоминание на серче, кто-то ее уже блочил. ) , до вечера соберу инфу и тоже заблочу. Короче, альтернативный вариант онаружения asn ботов 😀

Значит у Вас не было WAF правила, в которое бы попадала эта сеть (условие) и логировалось действие, это логично.

Если бы у Вас последним правило было логирование прямых заходов или UTM меток - то подобный шлак попал бы в логи сразу.

Вы можете просто условно сделать правило в самый конец, если не сеть гугла - то все остальное логируем, тем самым у Вас будет логирование всего (что не вошло в верхние правила), а там фильтровкой можно посмотреть логи и внести правки в правила блокировки выше.

Если на  сайт заходят хостинг-провайдеры (дата центры),  то смело можно банить . DATA-CHEAP-AS в их числе . Также этих проверьте на наличие . А также любое упоминание слов LLC , LTD

/////SELECTEL-MSK, RU
//////Stark Industries Solutions Ltd
///////Mrgroup Investments Limited
///////biterika
///////QWARTA, RU
////selectel ru
///PINDC-AS, RU 
////HETZNER-AS, DE      

А что значит логирование? Точнее, как это реализуется?
Последним правилом стоит  (not http.request.version in {"HTTP/2" "HTTP/3" "SPDY/3.1"}) or (http.referer eq "") - managed challenge
UPD - спасибо, нашел инструкции в других ветках