Campi di registro per il ACL traffico web

L'elenco seguente descrive i possibili campi di registro.

action

L'azione conclusiva che AWS WAF applicata alla richiesta. Ciò indica che è consentitoCAPTCHA, bloccato o contestato. Il CAPTCHA e Challenge le azioni terminano quando la richiesta web non contiene un token valido.

args

Stringa query.

captchaResponse

Lo stato dell'CAPTCHAazione per la richiesta, compilato quando un CAPTCHA l'azione viene applicata alla richiesta. Questo campo è compilato per qualsiasi CAPTCHA azione, terminante o non terminante. Se una richiesta ha il CAPTCHA azione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

Il CAPTCHA l'azione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se il file CAPTCHA l'azione è terminata, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

challengeResponse

Lo stato dell'azione di sfida per la richiesta, compilato quando un Challenge l'azione viene applicata alla richiesta. Questo campo è compilato per qualsiasi Challenge azione, terminante o non terminante. Se una richiesta ha il Challenge azione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

Il Challenge l'azione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se il file Challenge l'azione è terminata, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

clientIp

Indirizzo IP del client che invia la richiesta.

country

Paese di origine della richiesta. Se AWS WAF non è in grado di determinare il paese di origine, imposta questo campo su. -

excludedRules

Utilizzato solo per le regole dei gruppi di regole. L'elenco di regole nel gruppo di regole che sono state escluse. L'azione per queste regole è impostata su Count.

Se sostituisci una regola per contarla utilizzando l'opzione di azione sostituisci la regola, le corrispondenze non vengono elencate qui. Sono elencate come coppie action di azioni e. overriddenAction

exclusionType: Un tipo che indica che la regola esclusa ha l'azione Count.
ruleId: L'ID della regola all'interno del gruppo di regole che è esclusa.

formatVersion

Tipo di formato per il log.

headers

Elenco intestazioni.

httpMethod

Il HTTP metodo nella richiesta.

httpRequest

Metadati sulla richiesta.

httpSourceId

L'ID della risorsa associata:

Per una CloudFront distribuzione Amazon, l'ID è il seguente distribution-id nella ARN sintassi:

arn:partitioncloudfront::account-id:distribution/distribution-id
Per un Application Load Balancer, l'ID è il seguente load-balancer-id nella ARN sintassi:

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Per un Amazon API Gateway RESTAPI, l'ID è il api-id seguente nella ARN sintassi:

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Per un AWS AppSync GraphQLAPI, l'ID è il seguente GraphQLApiId nella ARN sintassi:

arn:partition:appsync:region:account-id:apis/GraphQLApiId
Per un pool di utenti di Amazon Cognito, l'ID è il seguente user-pool-id nella ARN sintassi:

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Per un AWS App Runner servizio, l'ID è il seguente apprunner-service-id nella ARN sintassi:

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Origine della richiesta. Valori possibili: CF per Amazon CloudFront, APIGW per Amazon API Gateway, ALB per Application Load Balancer, per APPSYNC AWS AppSync, COGNITOIDP per Amazon Cognito, APPRUNNER per App Runner e VERIFIED_ACCESS per Verified Access.

httpVersion

La HTTP versione.

Impronta digitale JA3

L'JA3impronta digitale della richiesta.

Nota

JA3l'ispezione delle impronte digitali è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L'JA3impronta digitale è un hash di 32 caratteri derivato dal Client Hello di una richiesta in arrivoTLS. Questa impronta digitale funge da identificatore univoco per la configurazione del client. TLS AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza JA3 delle impronte digitali nelle tue regole web. ACL Per informazioni sulla creazione di una corrispondenza con l'JA3impronta digitale, vedi JA3impronta digitale nella dichiarazione Richiedi componenti in AWS WAF per una regola.

labels

Le etichette sulla richiesta web. Queste etichette sono state applicate in base a regole utilizzate per valutare la richiesta. AWS WAF registra le prime 100 etichette.

nonTerminatingMatchingRegole

L'elenco delle regole non terminative che corrispondono alla richiesta. Ogni elemento dell'elenco contiene le seguenti informazioni.

action: L'azione che AWS WAF applicata alla richiesta. Ciò indica il conteggio o la sfida. CAPTCHA Il CAPTCHA e Challenge non terminano quando la richiesta web contiene un token valido.
ruleId: L'ID della regola che corrispondeva alla richiesta e non terminava.
ruleMatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e cross-site scripting (XSS) match rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

Le eventuali informazioni aggiuntive fornite per ciascuna regola variano in base a fattori quali la configurazione della regola, il tipo di corrispondenza delle regole e i dettagli della corrispondenza. Ad esempio, per le regole con un CAPTCHA oppure Challenge azione, challengeResponse verrà elencata la captchaResponse o. Se la regola corrispondente fa parte di un gruppo di regole e hai sovrascritto l'azione della regola configurata, l'azione configurata verrà fornita in. overriddenAction

oversizeFields

L'elenco dei campi della richiesta Web che sono stati esaminati dal Web ACL e che si trovano in AWS WAF limite di ispezione. Se un campo è sovradimensionato ma il Web ACL non lo ispeziona, non verrà elencato qui.

Questo elenco può contenere zero o più dei seguenti valori:REQUEST_BODY, REQUEST_JSON_BODYREQUEST_HEADERS, e. REQUEST_COOKIES Per ulteriori informazioni sui campi sovradimensionati, vedereGestione di componenti di richieste Web di grandi dimensioni in AWS WAF.

rateBasedRuleElenco

Elenco dei gruppi di regole basate su tariffa che hanno operato su questa richiesta. Per informazioni sulle regole basate sulle tariffe, vedere. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF

rateBasedRuleId: ID della regola basata sulla frequenza che ha operato su questa richiesta. Se ciò ha terminato la richiesta, l'ID di rateBasedRuleId è uguale all'ID di terminatingRuleId.
rateBasedRuleNome: Il nome della regola basata sulla tariffa che ha funzionato sulla richiesta.
limitKey: Il tipo di aggregazione utilizzato dalla regola. I valori possibili sono IP per l'origine della richiesta Web, FORWARDED_IP per un IP inoltrato in un'intestazione della richiesta, CUSTOMKEYS per le impostazioni di chiave aggregate personalizzate e CONSTANT per contare tutte le richieste insieme, senza aggregazione.
limitValue: Utilizzato solo per limitare la velocità in base a un singolo tipo di indirizzo IP. Se una richiesta contiene un indirizzo IP non valido, lo limitvalue èINVALID.
maxRateAllowed: Il numero massimo di richieste consentite nella finestra temporale specificata per una specifica istanza di aggregazione. L'istanza di aggregazione è definita dalla limitKey somma di eventuali specifiche chiave aggiuntive fornite nella configurazione delle regole basate sulla frequenza.
evaluationWindowSec: La quantità di tempo che AWS WAF i conteggi inclusi nella richiesta sono espressi in secondi.
customValues: Valori univoci identificati dalla regola basata sulla tariffa nella richiesta. Per i valori di stringa, i registri stampano i primi 32 caratteri del valore della stringa. A seconda del tipo di chiave, questi valori potrebbero essere solo per una chiave, ad esempio per il HTTP metodo o la stringa di query, oppure potrebbero riguardare una chiave e un nome, ad esempio per l'intestazione e il nome dell'intestazione.

requestHeadersInserted

L'elenco delle intestazioni inserite per la gestione personalizzata delle richieste.

requestId

ID della richiesta, generato dal servizio host sottostante. Per Application Load Balancer, questo è l'ID di traccia. Per tutti gli altri, questo è l'ID della richiesta.

responseCodeSent

Il codice di risposta inviato con una risposta personalizzata.

ruleGroupId

ID del gruppo di regole. Se la regola ha bloccato la richiesta, l'ID per ruleGroupID è uguale all'ID per terminatingRuleId.

ruleGroupList

L'elenco dei gruppi di regole che hanno risposto a questa richiesta, con informazioni sulla corrispondenza.

terminatingRule

La regola che ha terminato la richiesta. Se è presente, contiene le seguenti informazioni.

action: L'azione conclusiva che AWS WAF applicata alla richiesta. Ciò indica che è consentitoCAPTCHA, bloccato o contestato. Il CAPTCHA e Challenge le azioni terminano quando la richiesta web non contiene un token valido.
ruleId: L'ID della regola che corrisponde alla richiesta.
ruleMatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e cross-site scripting (XSS) match rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminatingRuleId

ID della regola che ha terminato la richiesta. Se non viene terminata la richiesta, il valore è Default_Action.

terminatingRuleMatchDettagli

Informazioni dettagliate sulla regola di terminazione corrispondente alla richiesta. Una regola di terminazione ha un'azione che termina il processo di ispezione di una richiesta Web. Le azioni possibili per una regola di cessazione includono Allow, Block, CAPTCHAe Challenge. Durante l'ispezione di una richiesta web, alla prima regola che corrisponde alla richiesta e che ha un'azione terminativa, AWS WAF interrompe l'ispezione e applica l'azione. La richiesta Web potrebbe contenere altre minacce, oltre a quella riportata nel registro per la regola di terminazione corrispondente.

Questo campo viene compilato solo per le istruzioni SQL injection e cross-site scripting (XSS) match rule. La regola di abbinamento potrebbe richiedere una corrispondenza per più di un criterio di ispezione, quindi questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminatingRuleType

Tipo della regola che ha terminato la richiesta. Valori possibili: RATE _ BASEDREGULAR,GROUP, e MANAGED _ RULE _GROUP.

timestamp

Time Stamp in millisecondi.

uri

Il URI nome della richiesta.

webaclId

Il GUID webACL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Trovare i tuoi ACL record web

Esempi di log