Campos de registro para el ACL tráfico web

En la siguiente lista se describen los posibles campos del registro.

acción

La acción final que AWS WAF aplicada a la solicitud. Esto indica permitirCAPTCHA, bloquear o impugnar. La CAPTCHA y Challenge las acciones finalizan cuando la solicitud web no contiene un token válido.

args

La cadena de consulta.

captchaResponse

El estado de la CAPTCHA acción de la solicitud, que se rellena cuando un CAPTCHA la acción se aplica a la solicitud. Este campo se rellena para cualquier CAPTCHA acción, ya sea finalizante o no finalizada. Si una solicitud tiene la CAPTCHA la acción se aplicó varias veces, este campo se rellena desde la última vez que se aplicó la acción.

La CAPTCHA La acción finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha caducado. Si el archivo de CAPTCHA la acción está finalizando, este campo incluye un código de respuesta y el motivo del error. Si la acción no termina, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción que termina y una que no termina, puedes filtrar en este campo para ver un atributo que no esté vacío. failureReason

challengeResponse

El estado de la acción de impugnación de la solicitud, que se rellena cuando Challenge la acción se aplica a la solicitud. Este campo se rellena para cualquier Challenge acción, ya sea finalizante o no finalizada. Si una solicitud tiene la Challenge la acción se aplicó varias veces, este campo se rellena desde la última vez que se aplicó la acción.

La Challenge La acción finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha caducado. Si el archivo de Challenge la acción está finalizando, este campo incluye un código de respuesta y el motivo del error. Si la acción no termina, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción que termina y una que no termina, puedes filtrar en este campo para ver un atributo que no esté vacío. failureReason

clientIp

La dirección IP del cliente que envía la solicitud.

country

El país de origen de la solicitud. Si AWS WAF no puede determinar el país de origen, establece este campo en. -

excludedRules

Se usa solo para reglas del grupo de reglas. La lista de reglas del grupo de reglas que ha excluido. La acción de estas reglas se establece en Count.

Si anula una regla para contabilizarla mediante la opción de acción de anular regla, las coincidencias no se muestran aquí. Se muestran como parejas de acción action y overriddenAction.

exclusionType: Un tipo que indica que la regla excluida tiene la acción Count.
ruleId: El ID de la regla del grupo de reglas que se ha excluido.

formatVersion

La versión de formato para el registro.

headers

La lista de encabezados.

httpMethod

El HTTP método de la solicitud.

httpRequest

Los metadatos sobre la solicitud.

httpSourceId

El identificador del recurso asociado:

En el caso de una CloudFront distribución de Amazon, el identificador es el siguiente distribution-id en la ARN siguiente sintaxis:

arn:partitioncloudfront::account-id:distribution/distribution-id
En el caso de un Application Load Balancer, el identificador corresponde a la load-balancer-id ARN siguiente sintaxis:

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
En el caso de Amazon API Gateway RESTAPI, el ID es el siguiente api-id en la ARN siguiente sintaxis:

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Para un AWS AppSync GraphQLAPI, el ID es el de GraphQLApiId la ARN sintaxis:

arn:partition:appsync:region:account-id:apis/GraphQLApiId
Para un grupo de usuarios de Amazon Cognito, el ID es la siguiente user-pool-id en la ARN siguiente sintaxis:

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Para un AWS App Runner el identificador es el que aparece apprunner-service-id en la ARN sintaxis:

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

El origen de la solicitud. Valores posibles: CF para Amazon CloudFront, APIGW para Amazon API Gateway, ALB para Application Load Balancer, para APPSYNC AWS AppSync, COGNITOIDP para Amazon Cognito, APPRUNNER App Runner y Verified VERIFIED_ACCESS Access.

httpVersion

La HTTP versión.

ja3Fingerprint

La JA3 huella digital de la solicitud.

nota

JA3la inspección de huellas dactilares solo está disponible para CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.

La JA3 huella digital es un hash de 32 caracteres derivado del saludo del TLS cliente de una solicitud entrante. Esta huella digital sirve como identificador único para la TLS configuración del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de TLS Client Hello para el cálculo.

Este valor se proporciona al configurar una coincidencia de JA3 huellas digitales en ACL las reglas web. Para obtener información sobre cómo crear una coincidencia con la JA3 huella digital, consulte JA3huella digital Solicite componentes en AWS WAF la declaración de reglas.

etiquetas

Las etiquetas de la solicitud web. Estas etiquetas se aplicaban mediante reglas que se utilizaban para evaluar la solicitud. AWS WAF registra las 100 primeras etiquetas.

nonTerminatingMatchingReglas

La lista de reglas no terminantes que coincidían con la solicitud. Cada elemento de la lista contiene la siguiente información.

acción: La acción que AWS WAF aplicada a la solicitud. Esto indica el recuento o CAPTCHA la impugnación. La CAPTCHA y Challenge no finalizan cuando la solicitud web contiene un token válido.
ruleId: El ID de la regla que coincide con la solicitud y no era de finalización.
ruleMatchDetails: Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las instrucciones de coincidencia entre SQL inyecciones y secuencias de comandos entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

La información adicional proporcionada para cada regla varía en función de factores como la configuración de la regla, el tipo de coincidencia de la regla y los detalles de la coincidencia. Por ejemplo, en el caso de las reglas con un CAPTCHA o Challenge acción, captchaResponse challengeResponse aparecerá la o. Si la regla coincidente está en un grupo de reglas y has anulado su acción de regla configurada, la acción configurada aparecerá en. overriddenAction

oversizeFields

La lista de campos de la solicitud web que fueron inspeccionados por la web ACL y que se encuentran sobre el AWS WAF límite de inspección. Si un campo es demasiado grande pero la web ACL no lo inspecciona, no aparecerá aquí.

Esta lista puede contener cero o más de los siguientes valores: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS y REQUEST_COOKIES. Para obtener más información acerca de los campos sobredimensionados, consulte Manejo de componentes de solicitudes web sobredimensionados en AWS WAF.

rateBasedRuleLista

La lista de reglas basadas en frecuencia que actuaron en la solicitud. Para obtener información acerca de las reglas basadas en tasas, consulte Uso de declaraciones de reglas basadas en tasas en AWS WAF.

rateBasedRuleID: El ID de la regla basada en frecuencia que actuó en la solicitud. Si esto ha terminado la solicitud, el ID de rateBasedRuleId es el mismo que el ID de terminatingRuleId.
rateBasedRuleNombre: El nombre de la regla basada en tasas que actuó en la solicitud.
limitKey: El tipo de agregación que utiliza la regla. Los valores posibles son IP para el origen de la solicitud web, FORWARDED_IP para una IP reenviada en un encabezado de la solicitud, CUSTOMKEYS para la configuración personalizada de las claves agregadas y CONSTANT para el recuento conjunto de todas las solicitudes, sin agregación.
limitValue: Se usa solo cuando se limita la tasa a un solo tipo de dirección IP. Si una solicitud contiene una dirección IP que no es válida, el limitvalue es INVALID.
maxRateAllowed: El número máximo de solicitudes permitidas en el intervalo de tiempo especificado para una instancia de agregación específica. La instancia de agregación se define mediante limitKey las especificaciones clave adicionales que haya proporcionado en la configuración de reglas basadas en tasas.
evaluationWindowSec: La cantidad de tiempo que AWS WAF incluido en su solicitud se contabiliza, en segundos.
customValues: Valores únicos identificados por la regla basada en tasas de la solicitud. En el caso de los valores de cadena, los registros imprimen los primeros 32 caracteres del valor de cadena. Según el tipo de clave, estos valores pueden ser solo para una clave, como un HTTP método o una cadena de consulta, o pueden ser para una clave y un nombre, como para el encabezado y el nombre del encabezado.

requestHeadersInserted

La lista de encabezados insertados para la gestión personalizada de las solicitudes.

requestId

El ID de la solicitud, que es generado por el servicio de alojamiento subyacente. Para el equilibrador de carga de aplicación, este es el identificador de rastro. Para el resto, este el el identificador de la solicitud.

responseCodeSent

El código de respuesta enviado con una respuesta personalizada.

ruleGroupId

El ID del grupo de reglas. Si la regla bloqueó la solicitud, el ID de ruleGroupID es el mismo que el ID de terminatingRuleId.

ruleGroupList

La lista de grupos de reglas que actuaron en esta solicitud, que coinciden con la información.

terminatingRule

La regla que terminó la solicitud. Si está presente, contiene la siguiente información.

acción: La acción final que AWS WAF aplicada a la solicitud. Esto indica permitirCAPTCHA, bloquear o impugnar. La CAPTCHA y Challenge las acciones finalizan cuando la solicitud web no contiene un token válido.
ruleId: El identificador de la regla que coincide con la solicitud.
ruleMatchDetails: Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las sentencias SQL de coincidencia entre inyecciones y secuencias de comandos entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

terminatingRuleId

El ID de la regla que terminó la solicitud. Si nada termina la solicitud, el valor es Default_Action.

terminatingRuleMatchDetalles

Información detallada sobre la regla de finalización que coincide con la solicitud. Una regla de finalización tiene una acción que finaliza el proceso de inspección ante una solicitud web. Entre las posibles acciones de una regla de rescisión se incluyen Allow, Block, CAPTCHA, y Challenge. Durante la inspección de una solicitud web, ante la primera regla que coincida con la solicitud y que tenga una acción de rescisión, AWS WAF detiene la inspección y aplica la acción. La solicitud web puede contener otras amenazas, además de la que aparece en el registro de la regla de finalización coincidente.

Esto solo se rellena para las sentencias SQL de reglas de coincidencia entre inyecciones y secuencias de comandos entre sitios (XSS). La regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

terminatingRuleType

El tipo de regla que terminó la solicitud. Valores posibles: RATE _BASED, REGULARGROUP, y MANAGED _ _RULE. GROUP

Marca de tiempo

La marca de tiempo en milisegundos.

uri

El URI de la solicitud.

webaclId

El GUID de la webACL.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Búsqueda de sus ACL registros web

Ejemplos de registro