Bidang log untuk ACL lalu lintas web - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bidang log untuk ACL lalu lintas web

Daftar berikut menjelaskan bidang log yang mungkin.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, blockCAPTCHA, atau challenge. Bagian CAPTCHA and Challenge tindakan dihentikan ketika permintaan web tidak berisi token yang valid.

argumen

String kueri.

captchaResponse

Status CAPTCHA tindakan untuk permintaan, diisi ketika a CAPTCHA tindakan diterapkan pada permintaan. Bidang ini diisi untuk setiap CAPTCHA tindakan, apakah mengakhiri atau tidak mengakhiri. Jika permintaan memiliki CAPTCHA tindakan diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

Bagian CAPTCHA action mengakhiri pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika CAPTCHA tindakan berakhir, bidang ini mencakup kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

challengeResponse

Status tindakan tantangan untuk permintaan, diisi ketika a Challenge tindakan diterapkan pada permintaan. Bidang ini diisi untuk setiap Challenge tindakan, apakah mengakhiri atau tidak mengakhiri. Jika permintaan memiliki Challenge tindakan diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

Bagian Challenge action mengakhiri pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika Challenge tindakan berakhir, bidang ini mencakup kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

clientIp

Alamat IP klien yang mengirim permintaan.

negeri

Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini-.

excludedRules

Digunakan hanya untuk aturan kelompok aturan. Daftar aturan dalam grup aturan yang telah Anda kecualikan. Tindakan untuk aturan ini diatur ke Count.

Jika Anda mengganti aturan untuk dihitung menggunakan opsi tindakan aturan ganti, kecocokan tidak tercantum di sini. Mereka terdaftar sebagai pasangan aksi action danoverriddenAction.

exclusionType

Tipe yang menunjukkan bahwa aturan yang dikecualikan memiliki tindakan Count.

ruleId

ID aturan dalam grup aturan yang dikecualikan.

formatVersion

Versi format untuk log.

headers

Daftar header.

httpMethod

HTTPMetode dalam permintaan.

httpRequest

Metadata tentang permintaan.

httpSourceId

ID sumber daya terkait:

  • Untuk CloudFront distribusi Amazon, ID adalah distribution-id dalam ARN sintaks:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Untuk Application Load Balancer, ID adalah load-balancer-id dalam sintaks: ARN

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Untuk Amazon API Gateway RESTAPI, ID adalah api-id dalam ARN sintaks:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Untuk AWS AppSync APIGraphQL, ID adalah dalam sintaksGraphQLApiId: ARN

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Untuk kumpulan pengguna Amazon Cognito, ID adalah user-pool-id dalam sintaks: ARN

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Untuk AWS App Runner layanan, ID adalah apprunner-service-id dalam ARN sintaks:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Sumber permintaan. Nilai yang mungkin: CF untuk Amazon CloudFront, APIGW untuk Amazon API Gateway, ALB untuk Application Load Balancer, untuk APPSYNC AWS AppSync, COGNITOIDP untuk Amazon Cognito, APPRUNNER untuk App Runner, dan VERIFIED_ACCESS untuk Akses Terverifikasi.

httpVersion

HTTPVersi.

Ja3sidik jari

JA3Sidik jari permintaan.

catatan

JA3pemeriksaan sidik jari hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.

JA3Sidik jari adalah hash 32 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengidentifikasi unik untuk TLS konfigurasi klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.

Anda memberikan nilai ini saat mengonfigurasi kecocokan JA3 sidik jari dalam ACL aturan web Anda. Untuk informasi tentang membuat kecocokan dengan JA3 sidik jari, lihat JA3sidik jari di pernyataan Minta komponen di AWS WAF untuk aturan.

label

Label pada permintaan web. Label ini diterapkan oleh aturan yang digunakan untuk mengevaluasi permintaan. AWS WAF mencatat 100 label pertama.

nonTerminatingMatchingAturan

Daftar aturan non-penghentian yang cocok dengan permintaan. Setiap item dalam daftar berisi informasi berikut.

tindakan

Tindakan yang AWS WAF diterapkan pada permintaan. Ini menunjukkan hitungan,CAPTCHA, atau tantangan. Bagian CAPTCHA and Challenge non-terminating ketika permintaan web berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan dan tidak mengakhiri.

ruleMatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk SQL injeksi dan pernyataan aturan pencocokan skrip lintas situs (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan a CAPTCHA atau Challenge tindakan, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

oversizeFields

Daftar bidang dalam permintaan web yang diperiksa oleh web ACL dan yang berada di atas AWS WAF batas inspeksi. Jika bidang terlalu besar tetapi web ACL tidak memeriksanya, itu tidak akan tercantum di sini.

Daftar ini dapat berisi nol atau lebih dari nilai-nilai berikut:REQUEST_BODY,REQUEST_JSON_BODY,REQUEST_HEADERS, danREQUEST_COOKIES. Untuk informasi selengkapnya tentang bidang oversize, lihatMenangani komponen permintaan web yang terlalu besar di AWS WAF.

rateBasedRuleDaftar

Daftar aturan berbasis tarif yang bertindak atas permintaan. Untuk informasi tentang aturan berbasis tarif, lihat. Menggunakan pernyataan aturan berbasis tarif di AWS WAF

rateBasedRuleId

ID aturan berbasis tarif yang bertindak atas permintaan. Jika ini telah menghentikan permintaan, ID untuk rateBasedRuleId sama dengan ID untukterminatingRuleId.

rateBasedRuleNama

Nama aturan berbasis tarif yang bertindak atas permintaan.

limitKey

Jenis agregasi yang digunakan aturan. Nilai yang mungkin adalah IP untuk asal permintaan web, FORWARDED_IP untuk IP yang diteruskan dalam header dalam permintaan, CUSTOMKEYS untuk pengaturan kunci agregat kustom. dan CONSTANT untuk menghitung semua permintaan bersama-sama, tanpa agregasi.

limitValue

Digunakan hanya ketika tingkat dibatasi oleh satu jenis alamat IP. Jika permintaan berisi alamat IP yang tidak valid, limitvalue adalahINVALID.

maxRateAllowed

Jumlah maksimum permintaan yang diizinkan dalam jendela waktu yang ditentukan untuk contoh agregasi tertentu. Instans agregasi ditentukan oleh limitKey plus setiap spesifikasi kunci tambahan yang telah Anda berikan dalam konfigurasi aturan berbasis laju.

evaluationWindowSec

Jumlah waktu yang AWS WAF termasuk dalam jumlah permintaannya, dalam hitungan detik.

customValues

Nilai unik yang diidentifikasi oleh aturan berbasis tarif dalam permintaan. Untuk nilai string, log mencetak 32 karakter pertama dari nilai string. Tergantung pada jenis kunci, nilai-nilai ini mungkin hanya untuk kunci, seperti untuk HTTP metode atau string kueri, atau mereka mungkin untuk kunci dan nama, seperti untuk header dan nama header.

requestHeadersInserted

Daftar header dimasukkan untuk penanganan permintaan kustom.

requestId

ID permintaan, yang dihasilkan oleh layanan host yang mendasarinya. Untuk Application Load Balancer, ini adalah ID jejak. Untuk semua yang lain, ini adalah ID permintaan.

responseCodeSent

Kode respons dikirim dengan respons khusus.

ruleGroupId

ID dari grup aturan. Jika aturan memblokir permintaan, ID ruleGroupID untuk sama dengan ID untukterminatingRuleId.

ruleGroupList

Daftar grup aturan yang bertindak atas permintaan ini, dengan informasi kecocokan.

terminatingRule

Aturan yang mengakhiri permintaan. Jika ini ada, itu berisi informasi berikut.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, blockCAPTCHA, atau challenge. Bagian CAPTCHA and Challenge tindakan dihentikan ketika permintaan web tidak berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan.

ruleMatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk SQL injeksi dan pernyataan aturan pencocokan skrip lintas situs (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan a CAPTCHA atau Challenge tindakan, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

terminatingRuleId

ID aturan yang mengakhiri permintaan. Jika tidak ada yang mengakhiri permintaan, nilainya adalahDefault_Action.

terminatingRuleMatchDetail

Informasi terperinci tentang aturan penghentian yang cocok dengan permintaan. Aturan penghentian memiliki tindakan yang mengakhiri proses inspeksi terhadap permintaan web. Tindakan yang mungkin untuk aturan penghentian termasuk Allow, Block, CAPTCHA, dan Challenge. Selama pemeriksaan permintaan web, pada aturan pertama yang cocok dengan permintaan dan yang memiliki tindakan penghentian, AWS WAF menghentikan inspeksi dan menerapkan tindakan. Permintaan web mungkin berisi ancaman lain, selain yang dilaporkan dalam log untuk aturan penghentian yang cocok.

Ini hanya diisi untuk pernyataan aturan kecocokan SQL injeksi dan skrip lintas situs (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria inspeksi, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

terminatingRuleType

Jenis aturan yang mengakhiri permintaan. Nilai yang mungkin: RATE _BASED,REGULAR,GROUP, dan MANAGED _ RULE _GROUP.

timestamp

Stempel waktu dalam milidetik.

uri

URIPermintaan.

webaclId

GUIDDari webACL.