Campi di registro per il traffico del Protection Pack (Web ACL) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Campi di registro per il traffico del Protection Pack (Web ACL)

L'elenco seguente descrive i possibili campi di registro.

action

L'azione di terminazione AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.

args

Stringa query.

Risposta CAPTCHA

Lo stato dell'azione CAPTCHA per la richiesta, compilato quando viene applicata un'CAPTCHAazione alla richiesta. Questo campo viene compilato per qualsiasi CAPTCHA azione, terminante o non terminante. Se una richiesta ha l'CAPTCHAazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'CAPTCHAazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'CAPTCHAazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

cfDistributionTenantId

L'identificatore del tenant CloudFront di distribuzione associato alla richiesta web. Questo campo è facoltativo e si applica solo ai protection pack (web ACLs) associati ai tenant di CloudFront distribuzione.

ChallengeResponse

Lo stato dell'azione di sfida per la richiesta, compilato quando un'Challengeazione viene applicata alla richiesta. Questo campo viene compilato per qualsiasi Challenge azione, terminante o non terminante. Se una richiesta ha l'Challengeazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'Challengeazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'Challengeazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

ASN del cliente

L'Autonomous System Number (ASN) associato all'indirizzo IP dell'origine della richiesta web.

clientIp

Indirizzo IP del client che invia la richiesta.

country

Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su-.

country

Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su-.

excludedRules

Utilizzato solo per le regole dei gruppi di regole. L'elenco di regole nel gruppo di regole che sono state escluse. L'azione per queste regole è impostata suCount.

Se sostituisci una regola per contarla utilizzando l'opzione di azione sostituisci la regola, le corrispondenze non vengono elencate qui. Sono elencate come coppie action di azioni e. overriddenAction

exclusionType

Un tipo che indica che la regola esclusa ha l'azione. Count

ruleId

L'ID della regola all'interno del gruppo di regole che è esclusa.

Tipo di formato

Tipo di formato per il log.

Inoltrato come N

L'Autonomous System Number (ASN) associato all'indirizzo IP dell'entità che ha inoltrato la richiesta web.

headers

Elenco intestazioni.

httpMethod

Metodo HTTP nella richiesta.

httpRequest

Metadati sulla richiesta.

httpSourceId

L'ID della risorsa associata:

  • Per una CloudFront distribuzione Amazon, l'ID è il seguente distribution-id nella sintassi ARN:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Per un Application Load Balancer, l'ID è il seguente load-balancer-id nella sintassi ARN:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Per un'API REST di Amazon API Gateway, l'ID è il api-id seguente nella sintassi ARN:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Per un'API AWS AppSync GraphQL, l'ID è il seguente GraphQLApiId nella sintassi ARN:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Per un pool di utenti di Amazon Cognito, l'ID è il seguente user-pool-id nella sintassi ARN:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Per un AWS App Runner servizio, l'ID è il seguente apprunner-service-id nella sintassi ARN:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Origine della richiesta. Valori possibili: CF per Amazon CloudFront, APIGW per Amazon API Gateway, ALB per Application Load Balancer, APPSYNC per Amazon Cognito AWS AppSyncAPPRUNNER, COGNITOIDP per App Runner e per Verified Access. VERIFIED_ACCESS

httpVersion

Versione HTTP.

Impronta digitale JA3

L' JA3 impronta digitale della richiesta.

Nota

JA3 l'ispezione delle impronte digitali è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L' JA3 impronta digitale è un hash di 32 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza JA3 delle impronte digitali nelle regole del tuo Protection Pack (Web ACL). Per informazioni sulla creazione di una corrispondenza con l' JA3impronta digitale, vedere JA3 impronta digitale nella dichiarazione Richiedi componenti in AWS WAF per una regola.

Impronta digitale JA4

L' JA4 impronta digitale della richiesta.

Nota

JA4 l'ispezione delle impronte digitali è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L' JA4 impronta digitale è un hash di 36 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza JA4 delle impronte digitali nelle regole del tuo Protection Pack (Web ACL). Per informazioni sulla creazione di una corrispondenza con l' JA4impronta digitale, vedere JA4 impronta digitale nella dichiarazione Richiedi componenti in AWS WAF per una regola.

labels

Le etichette sulla richiesta web. Queste etichette sono state applicate in base a regole utilizzate per valutare la richiesta. AWS WAF registra le prime 100 etichette.

nonTerminatingMatchingRegole

L'elenco delle regole non terminative che corrispondono alla richiesta. Ogni elemento dell'elenco contiene le seguenti informazioni.

action

L'azione AWS WAF applicata alla richiesta. Indica il conteggio, il CAPTCHA o la sfida. Gli CAPTCHA e Challenge non terminano quando la richiesta web contiene un token valido.

ruleId

L'ID della regola che corrispondeva alla richiesta e non terminava.

ruleMatchDetails

Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

Le eventuali informazioni aggiuntive fornite per ciascuna regola variano in base a fattori quali la configurazione della regola, il tipo di corrispondenza delle regole e i dettagli della corrispondenza. Ad esempio, per le regole con un'Challengeazione CAPTCHA o, challengeResponse verrà elencato l'captchaResponseo. Se la regola corrispondente fa parte di un gruppo di regole e hai sovrascritto l'azione della regola configurata, l'azione configurata verrà fornita in. overriddenAction

Campi sovradimensionati

L'elenco dei campi della richiesta Web che sono stati controllati dal Protection Pack (Web ACL) e che superano il limite di ispezione. AWS WAF Se un campo è sovradimensionato ma il protection pack (Web ACL) non lo ispeziona, non verrà elencato qui.

Questo elenco può contenere zero o più dei seguenti valori:REQUEST_BODY,REQUEST_JSON_BODY, REQUEST_HEADERS e. REQUEST_COOKIES Per ulteriori informazioni sui campi sovradimensionati, vedereComponenti di richiesta Web di grandi dimensioni in AWS WAF.

rateBasedRuleElenco

Elenco dei gruppi di regole basate su tariffa che hanno operato su questa richiesta. Per informazioni sulle regole basate sulle tariffe, vedere. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF

rateBasedRuleId

ID della regola basata sulla frequenza che ha operato su questa richiesta. Se ciò ha terminato la richiesta, l'ID di rateBasedRuleId è uguale all'ID di terminatingRuleId.

rateBasedRuleNome

Il nome della regola basata sulla tariffa che ha funzionato sulla richiesta.

limitKey

Il tipo di aggregazione utilizzato dalla regola. I valori possibili sono IP per l'origine della richiesta Web, FORWARDED_IP per un IP inoltrato in un'intestazione della richiesta, CUSTOMKEYS per le impostazioni di chiave aggregate personalizzate e CONSTANT per contare tutte le richieste insieme, senza aggregazione.

Valore limite

Utilizzato solo per limitare la velocità in base a un singolo tipo di indirizzo IP. Se una richiesta contiene un indirizzo IP non valido, lo limitvalue èINVALID.

maxRateAllowed

Il numero massimo di richieste consentite nella finestra temporale specificata per una specifica istanza di aggregazione. L'istanza di aggregazione è definita dalla limitKey somma di eventuali specifiche chiave aggiuntive fornite nella configurazione delle regole basate sulla frequenza.

evaluationWindowSec

La quantità di tempo AWS WAF inclusa nella richiesta conta, espressa in secondi.

Valori personalizzati

Valori univoci identificati dalla regola basata sulla tariffa nella richiesta. Per i valori di stringa, i registri stampano i primi 32 caratteri del valore della stringa. A seconda del tipo di chiave, questi valori potrebbero essere solo per una chiave, ad esempio per il metodo HTTP o la stringa di query, oppure potrebbero riguardare una chiave e un nome, ad esempio per l'intestazione e il nome dell'intestazione.

requestHeadersInserted

L'elenco delle intestazioni inserite per la gestione personalizzata delle richieste.

requestId

ID della richiesta, generato dal servizio host sottostante. Per Application Load Balancer, questo è l'ID di traccia. Per tutti gli altri, questo è l'ID della richiesta.

responseCodeSent

Il codice di risposta inviato con una risposta personalizzata.

ruleGroupId

ID del gruppo di regole. Se la regola ha bloccato la richiesta, l'ID per ruleGroupID è uguale all'ID per terminatingRuleId.

ruleGroupList

L'elenco dei gruppi di regole che hanno risposto a questa richiesta, con informazioni sulla corrispondenza.

terminatingRule

La regola che ha terminato la richiesta. Se è presente, contiene le seguenti informazioni.

action

L'azione di terminazione AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.

ruleId

L'ID della regola che corrisponde alla richiesta.

ruleMatchDetails

Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

Le eventuali informazioni aggiuntive fornite per ciascuna regola variano in base a fattori quali la configurazione della regola, il tipo di corrispondenza delle regole e i dettagli della corrispondenza. Ad esempio, per le regole con un'Challengeazione CAPTCHA o, challengeResponse verrà elencato l'captchaResponseo. Se la regola corrispondente fa parte di un gruppo di regole e hai sovrascritto l'azione della regola configurata, l'azione configurata verrà fornita in. overriddenAction

terminatingRuleId

ID della regola che ha terminato la richiesta. Se non viene terminata la richiesta, il valore è Default_Action.

terminatingRuleMatchDettagli

Informazioni dettagliate sulla regola di terminazione corrispondente alla richiesta. Una regola di terminazione ha un'azione che termina il processo di ispezione di una richiesta Web. Le azioni possibili per una regola di terminazione includonoAllow, BlockCAPTCHA, eChallenge. Durante l'ispezione di una richiesta Web, alla prima regola che corrisponde alla richiesta e che prevede un'azione di terminazione, AWS WAF interrompe l'ispezione e applica l'azione. La richiesta web potrebbe contenere altre minacce, oltre a quella riportata nel registro per la regola di terminazione corrispondente.

Questo viene popolato solo per le istruzioni delle regole di corrispondenza SQL injection e Cross-site scripting (XSS). La regola di abbinamento potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminatingRuleType

Tipo della regola che ha terminato la richiesta. Valori possibili: RATE_BASED, REGULAR, GROUP e MANAGED_RULE_GROUP.

timestamp

Time Stamp in millisecondi.

uri

URI della richiesta.

fragment

La parte di un URL che segue il simbolo «#», che fornisce informazioni aggiuntive sulla risorsa, ad esempio #section2.

webaclId

Il GUID del pacchetto di protezione (ACL web).