Protokollfelder für ACL Web-Traffic - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollfelder für ACL Web-Traffic

In der folgenden Liste werden die wichtigsten Protokollfelder beschrieben.

action

Die abschließende Aktion, die AWS WAF auf die Anfrage angewendet. Dies bedeutet entweder „Zulassen“, „Blockieren“ oder „Ablehnen“. CAPTCHA Das Tool CAPTCHA and Challenge Aktionen werden beendet, wenn die Webanforderung kein gültiges Token enthält.

args

Die Abfragezeichenfolge.

captchaResponse

Der CAPTCHA Aktionsstatus für die Anfrage, der ausgefüllt wird, wenn ein CAPTCHA Die Aktion wird auf die Anfrage angewendet. Dieses Feld ist für jedes Feld gefüllt CAPTCHA Aktion, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn eine Anfrage die CAPTCHA Aktion, die mehrfach angewendet wurde, wird ab dem Zeitpunkt, zu dem die Aktion zuletzt angewendet wurde, mit Daten gefüllt.

Das Tool CAPTCHA Die Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn das Symbol CAPTCHA Die Aktion wird beendet. Dieses Feld enthält einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. failureReason

challengeResponse

Der Status der Challenge-Aktion für die Anfrage, der ausgefüllt wird, wenn Challenge Die Aktion wird auf die Anfrage angewendet. Dieses Feld ist für jedes Feld gefüllt Challenge Aktion, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn eine Anfrage die Challenge Aktion, die mehrfach angewendet wurde, wird ab dem Zeitpunkt, zu dem die Aktion zuletzt angewendet wurde, mit Daten gefüllt.

Das Tool Challenge Die Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn das Symbol Challenge Die Aktion wird beendet. Dieses Feld enthält einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. failureReason

clientIp

Die IP-Adresse des Clients, der die Anforderung sendet.

country

Das Quellland der Anforderung. Wenn AWS WAF kann das Herkunftsland nicht ermitteln, daher wird dieses Feld auf gesetzt. -

excludedRules

Wird nur für Regelgruppenregeln verwendet. Die Liste der Regeln in der Regelgruppe, die von Ihnen ausgeschlossen wurden. Die Aktion für diese Regeln ist auf eingestellt Count.

Wenn Sie mit der Aktionsoption „Regel überschreiben“ eine Regel so überschreiben, dass sie zählt, werden Treffer hier nicht aufgeführt. Sie werden als Aktionspaare action und aufgeführtoverriddenAction.

exclusionType

Ein Typ, der angibt, dass die ausgeschlossene Regel die Aktion hat Count.

ruleId

Die ID der Regel innerhalb der Regelgruppe, die ausgeschlossen ist.

formatVersion

Die Formatversion für das Protokoll.

Header

Die Liste der Header.

httpMethod

Die HTTP Methode in der Anfrage.

httpRequest

Die Metadaten zu der Anforderung.

httpSourceId

Die ID der zugehörigen Ressource:

  • Bei einer CloudFront Amazon-Distribution entspricht die ID distribution-id der folgenden ARN Syntax:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Für einen Application Load Balancer entspricht die ID der folgenden load-balancer-id ARN Syntax:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Für ein Amazon API Gateway REST API entspricht die ID api-id der folgenden ARN Syntax:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Für ein AWS AppSync GraphQLAPI, die ID ist die GraphQLApiId in der ARN Syntax:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Für einen Amazon Cognito Cognito-Benutzerpool entspricht die ID user-pool-id der folgenden ARN Syntax:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Für ein AWS App Runner Dienst, die ID ist die apprunner-service-id in der ARN Syntax:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Die Quelle der Anforderung. Mögliche Werte: CF für Amazon CloudFront, APIGW für Amazon API Gateway, ALB für Application Load Balancer, APPSYNC für AWS AppSync, COGNITOIDP für Amazon Cognito, APPRUNNER für App Runner und VERIFIED_ACCESS für Verified Access.

httpVersion

Die HTTP Version.

JA3-Fingerabdruck

Der JA3 Fingerabdruck der Anfrage.

Anmerkung

JA3Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.

Der JA3 Fingerabdruck ist ein 32-stelliger Hash, der vom TLS Client Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS Client Hello-Informationen für die Berechnung enthält.

Sie geben diesen Wert an, wenn Sie in Ihren ACL Webregeln einen JA3 Fingerabdruckabgleich konfigurieren. Informationen zum Erstellen eines Abgleichs mit dem JA3 Fingerabdruck finden Sie JA3Fingerabdruck in der Anweisung Komponenten anfordern in AWS WAF Für eine Regel.

labels

Die Bezeichnungen in der Webanforderung. Diese Bezeichnungen sind durch Regeln entstanden, die zur Bewertung der Anforderung verwendet wurden. AWS WAF protokolliert die ersten 100 Labels.

nonTerminatingMatchingRegeln

Die Liste der nicht abschließenden Regeln, die der Anfrage entsprachen. Jeder Eintrag in der Liste enthält die folgenden Informationen.

action

Die Aktion, die AWS WAF auf die Anfrage angewendet. Dies gibt entweder die Anzahl oder CAPTCHA die Herausforderung an. Das Tool CAPTCHA and Challenge werden nicht beendet, wenn die Webanforderung ein gültiges Token enthält.

ruleId

Die ID der Regel, die mit der Anforderung übereinstimmt und nicht beendend war.

ruleMatchDetails

Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL Injection- und Cross-Site-Scripting (XSS) -Matchregeln aufgefüllt. Eine Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Zum Beispiel für Regeln mit CAPTCHA or Challenge Aktion, das captchaResponse oder challengeResponse wird aufgelistet. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. overriddenAction

oversizeFields

Die Liste der Felder in der Webanforderung, die vom Internet geprüft wurden ACL und die sich über AWS WAF Inspektionslimit. Wenn ein Feld zu groß ist, es aber vom Internet ACL nicht überprüft wird, wird es hier nicht aufgeführt.

Diese Liste kann null oder mehr der folgenden Werte enthalten: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS und REQUEST_COOKIES. Weitere Informationen zu übergroßen Feldern finden Sie unter Umgang mit übergroßen Webanforderungskomponenten in AWS WAF.

rateBasedRuleListe

Die Liste der ratenbasierten Regeln, die auf die Anforderung reagiert haben. Weitere Informationen über ratenbasierte Regeln finden Sie unter Verwendung ratenbasierter Regelanweisungen in AWS WAF.

rateBasedRuleID

Die ID der ratenbasierten Regel, die auf die Anforderung reagiert hat. Wenn die Anforderung hierdurch beendet wurde, ist die ID für rateBasedRuleId mit der ID für terminatingRuleId identisch.

rateBasedRuleName

Der Name der ratenbasierten Regel, die auf die Anforderung reagiert hat.

limitKey

Der Aggregationstyp, den die Regel verwendet. Mögliche Werte sind IP für den Ursprung der Webanfrage, FORWARDED_IP für eine IP, die in einem Header der Anfrage weitergeleitet wird, CUSTOMKEYS für benutzerdefinierte Aggregatschlüsseleinstellungen und CONSTANT für das Zusammenzählen aller Anfragen ohne Aggregation.

limitValue

Wird nur bei der Ratenbegrenzung durch einen einzigen IP-Adresstyp verwendet. Wenn eine Anforderung eine ungültige IP-Adresse enthält, ist der limitvalue INVALID.

maxRateAllowed

Die maximale Anzahl von Anfragen, die im angegebenen Zeitfenster für eine bestimmte Aggregationsinstanz zulässig sind. Die Aggregationsinstanz wird durch die limitKey und alle zusätzlichen Schlüsselspezifikationen definiert, die Sie in der ratenbasierten Regelkonfiguration angegeben haben.

evaluationWindowSec

Die Zeitspanne, die AWS WAF Die in der Anfrage enthaltenen Werte werden in Sekunden gezählt.

customValues

Eindeutige Werte, die durch die ratenbasierte Regel in der Anfrage identifiziert werden. Bei Zeichenkettenwerten werden in den Protokollen die ersten 32 Zeichen des Zeichenkettenwerts gedruckt. Je nach Schlüsseltyp können diese Werte nur für einen Schlüssel gelten, z. B. für eine HTTP Methode oder eine Abfragezeichenfolge, oder sie können für einen Schlüssel und einen Namen gelten, z. B. für den Header und den Header-Namen.

requestHeadersInserted

Die Liste der Kopfzeilen, die für die benutzerdefinierte Bearbeitung von Anforderungen eingefügt werden.

requestId

Die ID der Anforderung, die vom zugrunde liegenden Host-Service generiert wird. Bei Application Load Balancer ist dies die Ablaufverfolgungs-ID. Bei allen anderen ist dies die Anforderungs-ID.

responseCodeSent

Der Antwortcode, der mit einer benutzerdefinierten Antwort gesendet wird.

ruleGroupId

Die ID der Regelgruppe. Wenn die Regel die Anforderung blockiert hat, ist die ID für ruleGroupID mit der ID für terminatingRuleId identisch.

ruleGroupList

Die Liste der Regelgruppen, die auf diese Anfrage reagiert haben, mit Übereinstimmungsinformationen.

terminatingRule

Die Regel, die die Anforderung beendet. Falls diese vorhanden ist, enthält sie die folgenden Informationen.

action

Die abschließende Aktion, die AWS WAF auf die Anfrage angewendet. Dies bedeutet entweder „Zulassen“, „Blockieren“ oder „Ablehnen“. CAPTCHA Das Tool CAPTCHA and Challenge Aktionen werden beendet, wenn die Webanforderung kein gültiges Token enthält.

ruleId

Die ID der Regel, die der Anfrage entsprach.

ruleMatchDetails

Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL Injection- und Cross-Site-Scripting (XSS) -Match-Regelanweisungen aufgefüllt. Eine Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Zum Beispiel für Regeln mit CAPTCHA or Challenge Aktion, das captchaResponse oder challengeResponse wird aufgelistet. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. overriddenAction

terminatingRuleId

Die ID der Regel, die die Anforderung beendet. Wenn nichts zur Beendigung der Anforderung führt, ist der Wert Default_Action.

terminatingRuleMatchEinzelheiten

Detaillierte Informationen zur Beendigungsregel, die mit der Anforderung übereingestimmt hat. Eine Beendigungsregel verfügt über eine Aktion, die den Inspektionsprozess für eine Webanforderung beendet. Zu den möglichen Aktionen für eine Kündigungsregel gehören Allow, Block, CAPTCHA, und Challenge. Bei der Prüfung einer Webanfrage bei der ersten Regel, die der Anfrage entspricht und die eine abschließende Aktion vorsieht, AWS WAF stoppt die Inspektion und wendet die Aktion an. Die Webanfrage kann zusätzlich zu der Bedrohung, die im Protokoll für die entsprechende Beendungsregel aufgeführt ist, weitere Bedrohungen enthalten.

Dieses Feld wird nur für SQL Injection- und Cross-Site-Scripting (XSS) -Abgleichsregeln aufgefüllt. Die Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

terminatingRuleType

Der Typ der Regel, die die Anforderung beendet. Mögliche Werte: RATE _ BASEDREGULAR,GROUP, und MANAGED _ RULE _GROUP.

Zeitstempel

Der Zeitstempel in Millisekunden.

uri

Der URI der Anfrage.

webaclId

Das GUID des WebsACL.