ウェブACLトラフィックのログフィールド - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブACLトラフィックのログフィールド

次のリストは、可能なログフィールドについて説明しています。

アクション

終了アクション。 AWS WAF がリクエストに適用されました。これは、許可、ブロック、CAPTCHA、またはチャレンジのいずれかを示します。- CAPTCHA また、Challenge ウェブリクエストに有効なトークンが含まれていない場合、 アクションは終了します。

args

クエリ文字列。

captchaResponse

リクエストのCAPTCHAアクションステータス。CAPTCHA アクションがリクエストに適用されます。このフィールドは、 に対して入力されます。CAPTCHA 終了中か非終了かにかかわらず、 アクション。リクエストに がある場合 CAPTCHA アクションが複数回適用された場合、このフィールドはアクションが最後に適用された時点から入力されます。

- CAPTCHA アクションは、リクエストにトークンが含まれていないか、トークンが無効または期限切れになったときに、ウェブリクエスト検査を終了します。そのファイルに CAPTCHA アクションが終了しています。このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でないfailureReason属性をフィルタリングします。

challengeResponse

リクエストのチャレンジアクションステータス。Challenge アクションがリクエストに適用されます。このフィールドは、 に対して入力されます。Challenge 終了中か非終了かにかかわらず、 アクション。リクエストに がある場合 Challenge アクションが複数回適用された場合、このフィールドはアクションが最後に適用された時点から入力されます。

- Challenge アクションは、リクエストにトークンが含まれていないか、トークンが無効または期限切れになったときに、ウェブリクエスト検査を終了します。そのファイルに Challenge アクションが終了しています。このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でないfailureReason属性をフィルタリングします。

clientIp

リクエストを送信するクライアントの IP アドレス。

country

リクエストの送信国。If AWS WAF は発信国を特定できず、このフィールドを に設定します-

excludedRules

ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは に設定されます。Count.

オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア action および overriddenAction として一覧表示されています。

exclusionType

除外されたルールに アクションがあることを示すタイプ Count.

ruleId

除外されたルールグループ内のルールの ID。

formatVersion

ログの形式バージョン。

headers

ヘッダーの一覧。

httpMethod

リクエストの HTTPメソッド。

httpRequest

リクエストに関するメタデータです。

httpSourceId

関連付けられたリソースの ID。

  • Amazon CloudFront ディストリビューションの場合、ID はARN構文distribution-idの です。

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Application Load Balancer の場合、ID はARN構文load-balancer-idの です。

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Amazon API Gateway の場合API、ID REST はARN構文api-idの です。

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • の場合 AWS AppSync GraphQL、APIID はARN構文GraphQLApiIdの です。

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Amazon Cognito ユーザープールの場合、ID はARN構文user-pool-idの です。

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • の場合 AWS App Runner サービス、ID はARN構文apprunner-service-idの です。

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

リクエストの送信元。指定できる値: Amazon CFの場合は CloudFront、Amazon API Gateway APIGWの場合は 、Application Load Balancer ALBの場合は 、 Application Load Balancer APPSYNC AWS AppSync、COGNITOIDPAmazon Cognito の場合は 、App Runner の場合は 、Verified Access VERIFIED_ACCESSの場合は 。 APPRUNNER

httpVersion

HTTP バージョン。

ja3Fingerprint

リクエストのJA3フィンガープリント。

注記

JA3 フィンガープリント検査は、Amazon CloudFront ディストリビューションと Application Load Balancer でのみ使用できます。

JA3 フィンガープリントは、受信リクエストの TLS Client Hello から派生した 32 文字のハッシュです。このフィンガープリントは、クライアントTLSの設定の一意の識別子として機能します。 AWS WAF は、計算に十分な TLS Client Hello 情報を持つリクエストごとに、このフィンガープリントを計算してログに記録します。

この値は、ウェブACLルールでJA3フィンガープリントの一致を設定するときに指定します。JA3 フィンガープリントに対する一致の作成については、ルールステートメントの JA3 フィンガープリントのリクエストコンポーネント AWS WAF「」を参照してください。

ラベル

ウェブリクエストのラベル。これらのラベルは、リクエストの評価に使用されたルールによって適用されました。 AWS WAF は最初の 100 個のラベルを記録します。

nonTerminatingMatchingルール

リクエストに一致した非終了ルールのリスト。リスト内の各項目には、次の情報が含まれています。

アクション

が実行するアクション AWS WAF がリクエストに適用されました。これは、カウント、CAPTCHA、チャレンジのいずれかを示します。- CAPTCHA また、Challenge ウェブリクエストに有効なトークンが含まれている場合、 は終了しません。

ruleId

リクエストに一致し、非終了ルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、インSQLジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ入力されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 を使用するルールの場合 CAPTCHA または Challenge アクション、 captchaResponseまたは challengeResponse が一覧表示されます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction

oversizeFields

ウェブによって検査され、 ACLを介しているウェブリクエスト内のフィールドのリスト AWS WAF 検査の制限 フィールドのサイズが大きすぎてもウェブが検査ACLしない場合、ここには表示されません。

このリストには、REQUEST_BODYREQUEST_JSON_BODYREQUEST_HEADERS、および REQUEST_COOKIES の値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

rateBasedRuleリスト

このリクエストで動作したレートベースのルールのリスト。レートベースルールの詳細については、「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。

rateBasedRuleID

このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、rateBasedRuleId の ID は、terminatingRuleId の ID と同じです。

rateBasedRule名前

このリクエストで動作したレートベースのルールの名前。

limitKey

ルールが使用している集約のタイプ。指定できる値は、ウェブリクエストの発信元用の IP、リクエストのヘッダーで転送された IP 用の FORWARDED_IP、カスタム集約キー設定用の CUSTOMKEYS、および集約なしですべてのリクエストをまとめてカウントする用の CONSTANT です。

limitValue

単一の IP アドレスタイプでレート制限を行う場合にのみ使用される。リクエストに有効ではない IP アドレスが含まれている場合、limitvalueINVALID です。

maxRateAllowed

特定の集約インスタンスに対して指定された時間枠で許可されるリクエストの最大数。集約インスタンスは、 limitKeyに加えて、レートベースのルール設定で指定した追加のキー仕様によって定義されます。

evaluationWindowSec

の時間 AWS WAF リクエスト数に秒単位で含まれます。

customValues

リクエスト内のレートベースのルールによって識別される一意の値。文字列値の場合、ログは文字列値の最初の 32 文字を出力します。キータイプに応じて、これらの値は、HTTPメソッドやクエリ文字列などのキーのみの場合もあれば、ヘッダーやヘッダー名などのキーと名前の場合もあります。

requestHeadersInserted

カスタムリクエストの処理用に挿入されるヘッダーのリスト。

requestId

基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。

responseCodeSent

カスタムレスポンスで送信されるレスポンスコード。

ruleGroupId

ルールグループの ID ルールがリクエストをブロックした場合、ruleGroupID の ID は、terminatingRuleId の ID と同じです。

ruleGroupList

このリクエストに対して動作したルールグループのリスト (一致情報を含む)。

terminatingRule

リクエストを終了したルール。これが存在する場合は、次の情報が含まれます。

アクション

終了アクション。 AWS WAF がリクエストに適用されました。これは、許可、ブロック、CAPTCHA、またはチャレンジのいずれかを示します。- CAPTCHA また、Challenge ウェブリクエストに有効なトークンが含まれていない場合、 アクションは終了します。

ruleId

リクエストに一致したルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、インSQLジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ入力されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 を使用するルールの場合 CAPTCHA または Challenge アクション、 captchaResponseまたは challengeResponse が一覧表示されます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction

terminatingRuleId

リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は Default_Action となります。

terminatingRuleMatch詳細

リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに対して実行できるアクションには、次のものがあります。Allow, Block, CAPTCHA および Challenge。 ウェブリクエストの検査中に、リクエストに一致し、終了アクションがある最初のルールで、 AWS WAF は検査を停止し、 アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。

これは、インSQLジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ入力されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

terminatingRuleType

リクエストを終了したルールのタイプ。指定できる値: RATE_BASED、REGULARGROUP、、_MANAGEDRULE_GROUP。

timestamp

タイムスタンプ (ミリ秒単位)。

uri

リクエストURIの 。

webaclId

ウェブ GUIDの ACL。