翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ウェブ ACL トラフィックのログフィールド
次のリストは、可能なログフィールドについて説明しています。
- アクション
-
AWS WAF がリクエストに適用した終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。
- args
-
クエリ文字列。
- captchaResponse
-
CAPTCHA アクションがリクエストに適用されたときに入力される、リクエストの CAPTCHA アクションステータス。このフィールドは、終了の有無にかかわらず、すべての CAPTCHA アクションに入力されます。リクエストに CAPTCHA アクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。
リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。CAPTCHA アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが非終了型の場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でない
failureReason属性をフィルタリングできます。 - challengeResponse
-
Challenge アクションがリクエストに適用されたときに入力される、リクエストのチャレンジアクションステータス。このフィールドは、終了の有無にかかわらず、すべての Challenge アクションに入力されます。リクエストに Challenge アクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。
リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。Challenge アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが非終了型の場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でない
failureReason属性をフィルタリングできます。 - clientIp
-
リクエストを送信するクライアントの IP アドレス。
- country
-
リクエストの送信国。AWS WAF が発信元の国を特定できない場合は、このフィールドを [
-] に設定します。 - excludedRules
-
ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。
オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア
actionおよびoverriddenActionとして一覧表示されています。- exclusionType
-
除外されたルールにアクション Count があることを示すタイプ。
- ruleId
-
除外されたルールグループ内のルールの ID。
- formatVersion
-
ログの形式バージョン。
- headers
-
ヘッダーの一覧。
- httpMethod
-
リクエストの HTTP メソッド。
- httpRequest
-
リクエストに関するメタデータです。
- httpSourceId
-
関連付けられたリソースの ID。
Amazon CloudFront ディストリビューションの場合、ID は ARN 構文で
distribution-idです。arn:partitioncloudfront::account-id:distribution/distribution-id-
Application Load Balancer の場合、ID は ARN 構文で
load-balancer-idです。arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id Amazon API Gateway REST API の場合、ID は ARN 構文で
api-idです。arn:partition:apigateway:region::/restapis/api-id/stages/stage-nameAWS AppSync GraphQL API の場合、ID は ARN 構文で
GraphQLApiIdです。arn:partition:appsync:region:account-id:apis/GraphQLApiIdAmazon Cognito ユーザープールの場合、ID は ARN 構文で
user-pool-idです。arn:partition:cognito-idp:region:account-id:userpool/user-pool-idAWS App Runner サービスの場合、ID は ARN 構文で
apprunner-service-idです。arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
リクエストの送信元。設定可能な値は、Amazon CloudFront の場合
CF、Amazon API Gateway の場合APIGW、Application Load Balancer の場合ALB、AWS AppSync の場合APPSYNC、Amazon Cognito の場合COGNITOIDP、App Runner の場合APPRUNNER、Verified Access の場合VERIFIED_ACCESSです。 - httpVersion
-
HTTP のバージョン。
- ja3Fingerprint
-
リクエストの JA3 フィンガープリント。
注記
JA3 フィンガープリント検査は、Amazon CloudFront ディストリビューションと Application Load Balancer でのみ利用可能です。
JA3 フィンガープリントは、受信リクエストの TLS Client Hello から生成される 32 文字のハッシュです。このフィンガープリントは、クライアントの TLS 設定の一意の識別子として機能します。AWS WAF は、計算を行うのに十分な TLS Client Hello 情報が含まれているリクエストごとに、このフィンガープリントを計算して記録します。
この値は、ウェブ ACL ルールで JA3 フィンガープリントの一致を設定するときに指定します。JA3 フィンガープリントとの一致を作成する方法については、「AWS WAF のリクエストコンポーネント」の「JA3 フィンガープリント」に記載されているルールステートメントを参照してください。
- ラベル
-
ウェブリクエストのラベル。これらのラベルは、リクエストの評価に使用されたルールによって適用されました。AWS WAF は、最初の 100 個のラベルをログに記録します。
- nonTerminatingMatchingRules
-
リクエストに一致した非終了型ルールのリスト。各リスト項目には、次の情報が含まれています。
- アクション
-
AWS WAF がリクエストに適用したアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。
- ruleId
-
リクエストに一致し、非終了ルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
各ルールに提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。たとえば、CAPTCHA または Challenge アクションを持つルールの場合、
captchaResponseまたはchallengeResponseが一覧表示されます。一致するルールがルールグループにあり、その設定済みルールアクションをオーバーライドした場合、設定済みアクションはoverriddenActionで提供されます。 - oversizeFields
-
ウェブ ACL によって検査され、AWS WAF 検査限界を超えるウェブリクエスト内のフィールドを一覧表示します。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。
このリストには、
REQUEST_BODY、REQUEST_JSON_BODY、REQUEST_HEADERS、およびREQUEST_COOKIESの値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「でのウェブリクエストコンポーネントのオーバーサイズ化 AWS WAF」を参照してください。 - rateBasedRuleList
-
このリクエストで動作したレートベースのルールのリスト。レートベースルールの詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。
- rateBasedRuleId
-
このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、
rateBasedRuleIdの ID は、terminatingRuleIdの ID と同じです。 - rateBasedRuleName
-
このリクエストで動作したレートベースのルールの名前。
- limitKey
-
ルールが使用している集約のタイプ。指定できる値は、ウェブリクエストの発信元用の
IP、リクエストのヘッダーで転送された IP 用のFORWARDED_IP、カスタム集約キー設定用のCUSTOMKEYS、および集約なしですべてのリクエストをまとめてカウントする用のCONSTANTです。 - limitValue
-
単一の IP アドレスタイプでレート制限を行う場合にのみ使用される。リクエストに有効ではない IP アドレスが含まれている場合、
limitvalueはINVALIDです。 - maxRateAllowed
-
特定の集約インスタンスに対して指定された時間枠で許可されるリクエストの最大数。集約インスタンスは、
limitKeyおよびレートベースのルール設定で提供される追加のキー仕様によって定義されます。 - evaluationWindowSec
-
AWS WAF に含まれる時間を秒単位で計算します。
- customValues
-
リクエスト内のレートベースのルールによって識別される一意の値。文字列値の場合、ログは文字列値の最初の 32 文字を出力します。キータイプに応じて、これらの値は HTTP メソッドやクエリ文字列といったキーだけの場合もあれば、ヘッダーやヘッダー名のようなキーと名前の場合もあります。
- requestHeadersInserted
-
カスタムリクエストの処理用に挿入されるヘッダーのリスト。
- requestId
-
基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。
- responseCodeSent
-
カスタムレスポンスで送信されるレスポンスコード。
- ruleGroupId
-
ルールグループの ID ルールがリクエストをブロックした場合、
ruleGroupIDの ID は、terminatingRuleIdの ID と同じです。 - ruleGroupList
-
このリクエストに対して動作したルールグループのリスト (一致情報を含む)。
- terminatingRule
-
リクエストを終了したルール。これが存在する場合、次の情報が含まれます。
- アクション
-
AWS WAF がリクエストに適用した終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。
- ruleId
-
リクエストに一致したルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
各ルールに提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。たとえば、CAPTCHA または Challenge アクションを持つルールの場合、
captchaResponseまたはchallengeResponseが一覧表示されます。一致するルールがルールグループにあり、その設定済みルールアクションをオーバーライドした場合、設定済みアクションはoverriddenActionで提供されます。 - terminatingRuleId
-
リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は
Default_Actionとなります。 - terminatingRuleMatchDetails
-
リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中に、リクエストに一致し、終了アクションを持つ最初のルールで、AWS WAF は検査を停止し、アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。
これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
- terminatingRuleType
-
リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。
- timestamp
-
タイムスタンプ (ミリ秒単位)。
- uri
-
リクエストの URI。
- webaclId
-
ウェブ ACL の GUID。
