Champs de journal pour le ACL trafic Web

La liste suivante décrit les champs de journal possibles.

action

L'action terminale qui AWS WAF appliqué à la demande. Cela indique soit autoriser, soit bloquerCAPTCHA, soit contester. Le CAPTCHA and Challenge les actions se terminent lorsque la requête Web ne contient pas de jeton valide.

args

Chaîne de requête.

captchaResponse

Le statut de l'CAPTCHAaction pour la demande, renseigné lorsqu'un CAPTCHA l'action est appliquée à la demande. Ce champ est renseigné pour n'importe quel CAPTCHA action, qu'elle soit terminale ou non terminale. Si une demande contient CAPTCHA action appliquée plusieurs fois, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.

Le CAPTCHA cette action met fin à l'inspection de la demande Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'icône CAPTCHA l'action se termine, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un failureReason attribut non vide dans ce champ.

challengeResponse

Le statut de l'action de défi pour la demande, renseigné lorsqu'un Challenge l'action est appliquée à la demande. Ce champ est renseigné pour n'importe quel Challenge action, qu'elle soit terminale ou non terminale. Si une demande contient Challenge action appliquée plusieurs fois, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.

Le Challenge cette action met fin à l'inspection de la demande Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'icône Challenge l'action se termine, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un failureReason attribut non vide dans ce champ.

clientIp

Adresse IP du client envoyant la requête.

country

Pays source de la requête. If AWS WAF n'est pas en mesure de déterminer le pays d'origine, il définit ce champ sur-.

excludedRules

Utilisé uniquement pour les règles de groupe de règles. Liste des règles dans le groupe de règles que vous avez exclues. L'action associée à ces règles est définie sur Count.

Si vous remplacez une règle pour qu'elle soit prise en compte à l'aide de l'option d'action de remplacement de la règle, les correspondances ne sont pas répertoriées ici. Ils sont répertoriés sous forme de paires d'actions action etoverriddenAction.

exclusionType: Type qui indique que la règle exclue a l'action Count.
ruleId: ID de la règle au sein du groupe de règles qui est exclu.

formatVersion

Version du format du journal.

headers

Liste des en-têtes.

httpMethod

La HTTP méthode indiquée dans la demande.

httpRequest

Métadonnées relatives à la requête.

httpSourceId

L'ID de la ressource associée :

Pour une CloudFront distribution Amazon, l'ID est indiqué distribution-id dans la ARN syntaxe suivante :

arn:partitioncloudfront::account-id:distribution/distribution-id
Pour un Application Load Balancer, l'ID est le suivant load-balancer-id dans la ARN syntaxe :

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Pour une Amazon API Gateway RESTAPI, l'ID est indiqué api-id dans la ARN syntaxe suivante :

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Pour un AWS AppSync GraphQLAPI, l'ID est indiqué GraphQLApiId dans la ARN syntaxe :

arn:partition:appsync:region:account-id:apis/GraphQLApiId
Pour un groupe d'utilisateurs Amazon Cognito, l'identifiant est indiqué user-pool-id dans la ARN syntaxe suivante :

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Pour un AWS App Runner service, l'identifiant est indiqué apprunner-service-id dans la ARN syntaxe :

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Source de la requête. Valeurs possibles : CF pour Amazon CloudFront, APIGW pour Amazon API Gateway, ALB pour Application Load Balancer, pour APPSYNC AWS AppSync, COGNITOIDP pour Amazon Cognito, APPRUNNER pour App Runner et VERIFIED_ACCESS pour Verified Access.

httpVersion

La HTTP version.

Empreinte digitale JA3

L'JA3empreinte digitale de la demande.

Note

JA3l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.

L'JA3empreinte digitale est un hachage de 32 caractères dérivé du TLS client Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la TLS configuration du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul.

Vous fournissez cette valeur lorsque vous configurez une correspondance JA3 d'empreintes digitales dans vos ACL règles Web. Pour plus d'informations sur la création d'une correspondance avec l'JA3empreinte digitale, reportez-vous JA3empreinte digitale à l'instruction Demandez des composants dans AWS WAF for a rule.

labels

Les étiquettes figurant sur la demande Web. Ces labels ont été appliqués par des règles qui ont été utilisées pour évaluer la demande. AWS WAF enregistre les 100 premières étiquettes.

nonTerminatingMatchingRègles

Liste des règles non résilientes correspondant à la demande. Chaque élément de la liste contient les informations suivantes.

action: L'action qui AWS WAF appliqué à la demande. Cela indique soit le nombreCAPTCHA, soit le défi. Le CAPTCHA and Challenge ne se terminent pas lorsque la requête Web contient un jeton valide.
ruleId: L'ID de la règle qui correspondait à la demande et qui ne se terminait pas.
ruleMatchDetails: Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles SQL d'injection et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.

Toute information supplémentaire fournie pour chaque règle varie en fonction de facteurs tels que la configuration de la règle, le type de correspondance des règles et les détails de la correspondance. Par exemple, pour les règles comportant un CAPTCHA or Challenge action, le captchaResponse ou challengeResponse sera répertorié. Si la règle correspondante se trouve dans un groupe de règles et que vous avez remplacé son action de règle configurée, l'action configurée sera fournie dans. overriddenAction

oversizeFields

La liste des champs de la requête Web qui ont été inspectés par le Web ACL et qui se trouvent au-dessus du AWS WAF limite d'inspection. Si un champ est surdimensionné mais que le Web ACL ne l'inspecte pas, il ne sera pas répertorié ici.

Cette liste peut contenir zéro ou plusieurs des valeurs suivantes : REQUEST_BODYREQUEST_JSON_BODY,REQUEST_HEADERS, etREQUEST_COOKIES. Pour plus d'informations sur les champs surdimensionnés, consultezGestion des composants de requête Web surdimensionnés dans AWS WAF.

rateBasedRuleListe

Liste de règles basées sur le débit qui ont agi sur la requête. Pour plus d'informations sur les règles basées sur les taux, consultezUtilisation d'instructions de règles basées sur le taux dans AWS WAF.

rateBasedRuleId: ID de la règle basée sur le débit qui a agi sur la requête. Si cette règle a résilié la requête, l'ID pour rateBasedRuleId est le même que pour terminatingRuleId.
rateBasedRuleNom: Nom de la règle basée sur le taux qui a donné suite à la demande.
limitKey: Type d'agrégation utilisé par la règle. Les valeurs possibles concernent l'origine de la IP demande Web, FORWARDED_IP une adresse IP transmise dans un en-tête de la CUSTOMKEYS demande, des paramètres clés agrégés personnalisés et CONSTANT le comptage de toutes les demandes ensemble, sans agrégation.
limitValue: Utilisé uniquement en cas de limitation du débit par un seul type d'adresse IP. Si une demande contient une adresse IP non valide, limitvalue c'estINVALID.
maxRateAllowed: Le nombre maximum de demandes autorisées dans la fenêtre temporelle spécifiée pour une instance d'agrégation spécifique. L'instance d'agrégation est définie par l'limitKeyajout de toute spécification clé supplémentaire que vous avez fournie dans la configuration des règles basées sur le taux.
evaluationWindowSec: La durée pendant laquelle AWS WAF inclus dans son nombre de demandes, en secondes.
customValues: Valeurs uniques identifiées par la règle basée sur le taux dans la demande. Pour les valeurs de chaîne, les journaux impriment les 32 premiers caractères de la valeur de chaîne. Selon le type de clé, ces valeurs peuvent être uniquement pour une clé, comme pour la HTTP méthode ou la chaîne de requête, ou pour une clé et un nom, comme pour l'en-tête et le nom de l'en-tête.

requestHeadersInserted

La liste des en-têtes insérés pour le traitement personnalisé des demandes.

requestId

ID de la demande, qui est généré par le service hôte sous-jacent. Pour Application Load Balancer, il s'agit de l'ID de trace. Pour tous les autres, il s'agit de l'ID de demande.

responseCodeSent

Le code de réponse envoyé avec une réponse personnalisée.

ruleGroupId

ID du groupe de règles. Si la règle a bloqué la requête, l'ID pour ruleGroupID est le même que pour terminatingRuleId.

ruleGroupList

Liste des groupes de règles ayant répondu à cette demande, avec les informations correspondantes.

terminatingRule

Règle qui a mis fin à la demande. S'il est présent, il contient les informations suivantes.

action: L'action terminale qui AWS WAF appliqué à la demande. Cela indique soit autoriser, soit bloquerCAPTCHA, soit contester. Le CAPTCHA and Challenge les actions se terminent lorsque la requête Web ne contient pas de jeton valide.
ruleId: ID de la règle correspondant à la demande.
ruleMatchDetails: Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles SQL d'injection et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.

terminatingRuleId

ID de la règle qui a résilié la requête. Si rien ne résilie la requête, la valeur est Default_Action.

terminatingRuleMatchDétails

Informations détaillées sur la règle de fin correspondant à la demande. Une règle de fin comporte une action qui met fin au processus d'inspection par rapport à une demande Web. Les actions possibles pour une règle de résiliation sont les suivantes : Allow, Block, CAPTCHA, et Challenge. Lors de l'inspection d'une requête Web, à la première règle qui correspond à la demande et qui comporte une action de terminaison, AWS WAF arrête l'inspection et applique l'action. La requête Web peut contenir d'autres menaces, en plus de celle signalée dans le journal pour la règle de terminaison correspondante.

Ce champ n'est renseigné que pour les SQL instructions de règles d'injection et de correspondance entre les scripts intersites (XSS). La règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.

terminatingRuleType

Type de règle qui a résilié la requête. Valeurs possibles : RATE _ BASEDREGULAR,GROUP, et MANAGED _ RULE _GROUP.

timestamp

L'horodatage en millisecondes.

uri

Le URI de la demande.

webaclId

Le GUID du WebACL.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Trouver vos ACL enregistrements Web

Exemples de journaux