웹 ACL 트래픽 로그 필드 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

웹 ACL 트래픽 로그 필드

다음 목록에서는 가능한 로그 필드에 대해 설명합니다.

작업

종료 작업은 다음과 같습니다. AWS WAF 요청에 적용되었습니다. 이는 허용CAPTCHA, 차단 또는 승인을 나타냅니다. The CAPTCHA 그리고 Challenge 웹 요청에 유효한 토큰이 없으면 작업이 종료됩니다.

args

쿼리 문자열.

captchaResponse

요청의 CAPTCHA 작업 상태, 다음과 같은 경우 채워집니다.CAPTCHA 액션이 요청에 적용됩니다. 이 필드는 모든 항목에 대해 입력됩니다.CAPTCHA 작업 (종료 또는 비종료 여부) 요청에 다음과 같은 내용이 있는 경우 CAPTCHA 작업이 여러 번 적용된 경우 이 필드는 작업이 마지막으로 적용된 시점부터 입력됩니다.

The CAPTCHA 요청에 토큰이 포함되지 않았거나 토큰이 유효하지 않거나 만료된 경우 작업은 웹 요청 검사를 종료합니다. 만약 CAPTCHA 작업이 종료되고 있습니다. 이 필드에는 응답 코드와 실패 이유가 포함됩니다. 작업이 종료되지 않는 경우 이 필드에는 해결 타임스탬프가 포함됩니다. 종료 작업과 종료되지 않은 작업을 구분하기 위해 이 필드에서 비어 있지 않은 속성을 필터링할 수 있습니다. failureReason

challengeResponse

요청에 대한 챌린지 액션 상태는 다음과 같이 채워집니다.Challenge 액션이 요청에 적용됩니다. 이 필드는 모든 항목에 대해 입력됩니다.Challenge 작업 (종료 또는 비종료 여부) 요청에 다음과 같은 내용이 있는 경우 Challenge 작업이 여러 번 적용된 경우 이 필드는 작업이 마지막으로 적용된 시점부터 입력됩니다.

The Challenge 요청에 토큰이 포함되지 않았거나 토큰이 유효하지 않거나 만료된 경우 작업은 웹 요청 검사를 종료합니다. 만약 Challenge 작업이 종료되고 있습니다. 이 필드에는 응답 코드와 실패 이유가 포함됩니다. 작업이 종료되지 않는 경우 이 필드에는 해결 타임스탬프가 포함됩니다. 종료 작업과 종료되지 않은 작업을 구분하기 위해 이 필드에서 비어 있지 않은 속성을 필터링할 수 있습니다. failureReason

clientIp

클라이언트가 요청을 보내는 IP 주소.

country

요청의 출처 국가. If AWS WAF 원산지를 확인할 수 없는 경우 이 필드는 로 설정됩니다. -

excludedRules

규칙 그룹 규칙에만 사용됩니다. 규칙 그룹에서 제외한 규칙의 목록입니다. 이 규칙의 조치는 다음과 같이 설정됩니다.Count.

규칙 재정의 작업 옵션을 사용하여 규칙을 개수로 재정의하는 경우 일치 항목이 여기에 나열되지 않습니다. 이들 항목은 작업 쌍인 actionoverriddenAction으로 나열됩니다.

exclusionType

제외된 규칙에 해당 작업이 있음을 나타내는 유형입니다.Count.

ruleId

규칙 그룹 내에서 제외된 규칙의 ID입니다.

formatVersion

로그의 포맷 버전.

헤더

헤더 목록.

httpMethod

요청의 HTTP 메서드.

httpRequest

요청에 대한 메타데이터.

httpSourceId

연결된 리소스의 ID입니다.

  • Amazon CloudFront 배포의 경우 ID는 다음 distribution-id ARN 구문입니다.

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Application Load Balancer의 경우 ID는 다음 구문에 load-balancer-id 있습니다. ARN

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Amazon API Gateway의 REST API 경우 ID는 다음 ARN 구문에 api-id 나와 있습니다.

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • 다음과 같은 경우 AWS AppSync APIGraphQL의 경우, ID는 다음 구문에 나와 GraphQLApiId 있습니다. ARN

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Amazon Cognito 사용자 풀의 경우 ID는 다음 구문에 user-pool-id 있습니다. ARN

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • 다음과 같은 경우 AWS App Runner 서비스의 ID는 apprunner-service-id 다음과 같은 ARN 구문입니다.

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

요청의 소스. 가능한 값: CF Amazon의 경우 CloudFront, Amazon APIGW API Gateway의 경우, Application Load Balancer의 ALB 경우, APPSYNC AWS AppSync, Amazon COGNITOIDP Cognito용, 앱 APPRUNNER 러너용, 검증된 VERIFIED_ACCESS 액세스용입니다.

httpVersion

버전HTTP.

ja3Fingerprint

요청의 JA3 핑거프린트.

참고

JA3지문 검사는 Amazon CloudFront 배포판 및 애플리케이션 로드 밸런서에만 사용할 수 있습니다.

JA3핑거프린트는 수신 요청의 TLS Client Hello에서 파생된 32자 해시입니다. 이 지문은 클라이언트 구성의 고유 식별자 역할을 합니다. TLS AWS WAF 계산에 필요한 TLS Client Hello 정보가 충분한 각 요청에 대해 이 핑거프린트를 계산하고 기록합니다.

웹 ACL 규칙에서 JA3 지문 일치를 구성할 때 이 값을 제공합니다. JA3핑거프린트와 일치하는 항목을 만드는 방법에 대한 자세한 내용은 에서 구성 요소 요청 AWS WAF for a rule 문을 참조하십시오JA3핑거프린트.

labels

웹 요청의 레이블 이러한 레이블은 요청을 평가하는 데 사용된 규칙에 따라 적용되었습니다. AWS WAF 처음 100개의 레이블을 기록합니다.

nonTerminatingMatching규칙

요청과 일치하는 종료되지 않는 규칙 목록. 목록의 각 항목에는 다음 정보가 포함됩니다.

작업

액션은 AWS WAF 요청에 적용되었습니다. 이는 개수 또는 챌린지를 나타냅니다. CAPTCHA The CAPTCHA 그리고 Challenge 웹 요청에 유효한 토큰이 포함된 경우 종료되지 않습니다.

ruleId

요청에 부합되는 비 종료 규칙의 ID.

ruleMatchDetails

요청과 일치하는 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 삽입 및 사이트 간 스크립팅 () XSS 일치 규칙 명령문에만 입력됩니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

각 규칙에 대해 제공되는 추가 정보는 규칙 구성, 규칙 일치 유형, 일치 세부 정보 등의 요인에 따라 달라집니다. 예를 들어 다음과 같은 규칙이 있습니다.CAPTCHA 또는 Challenge 작업의 경우 captchaResponse challengeResponse OR가 나열됩니다. 일치 규칙이 규칙 그룹에 있고 구성된 규칙 동작을 재정의한 경우 구성된 작업이 에 제공됩니다. overriddenAction

oversizeFields

웹에서 검사한 웹 요청의 필드 목록 중 ACL 웹에서 검사한 필드 목록 AWS WAF 검사 한도. 필드가 너무 크지만 웹에서 검사하지 ACL 않는 경우 여기에 나열되지 않습니다.

이 목록에는 REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERSREQUEST_COOKIES 값 중 0개 이상이 포함될 수 있습니다. 과대 필드에 대한 자세한 내용은 에서 크기가 큰 웹 요청 구성 요소 처리 AWS WAF 섹션을 참조하세요.

rateBasedRule리스트

요청에 작용하는 속도 기반 규칙의 목록. 속도 기반 규칙에 대한 자세한 내용은 속도 기반 규칙 명령문 사용 AWS WAF 섹션을 참조하세요.

rateBasedRule아이디

요청에 작용하는 비율 기반 규칙의 ID입니다. 이 규칙이 요청을 종료한 경우 rateBasedRuleId의 ID는 terminatingRuleId의 ID와 동일합니다.

rateBasedRule이름

요청에 작용하는 비율 기반 규칙의 이름입니다.

limitKey

규칙이 사용하는 집계 유형. 사용 가능한 값은 웹 요청 오리진에는 IP, 요청의 헤더에 전달된 IP에는 FORWARDED_IP, 사용자 지정 집계 키 설정에는 CUSTOMKEYS, 그리고 집계 없이 모든 요청 수를 계산하려는 경우 CONSTANT입니다.

limitValue

단일 IP 주소 유형에 의해 속도를 제한할 때만 사용됩니다. 요청에 유효하지 않은 IP 주소가 포함된 경우 limitvalueINVALID입니다.

maxRateAllowed

특정 집계 인스턴스에 대해 지정된 기간 동안 허용되는 최대 요청 수입니다. 집계 인스턴스는 속도 기반 규칙 limitKey 구성에서 제공한 추가 키 사양을 더하여 정의됩니다.

evaluationWindowSec

그 시간이 얼마나 걸렸는지 AWS WAF 요청 수에 포함됩니다 (초 단위).

customValues

요청의 속도 기반 규칙에 의해 식별된 고유 값. 문자열 값의 경우 로그는 문자열 값의 처음 32자를 출력합니다. 키 유형에 따라 이러한 값은 HTTP 메서드나 쿼리 문자열과 같이 키에만 사용할 수도 있고 헤더 및 헤더 이름과 같은 키와 이름에 대한 값일 수도 있습니다.

requestHeadersInserted

사용자 지정 요청 처리를 위해 삽입된 헤더 목록.

requestId

기본 호스트 서비스에 의해 생성되는 요청의 ID입니다. Application Load Balancer의 경우 추적 ID입니다. 다른 모든 경우 이것이 요청 ID입니다.

responseCodeSent

사용자 지정 응답과 함께 전송된 응답 코드입니다.

ruleGroupId

규칙 그룹의 ID. 규칙에서 요청을 차단한 경우 ruleGroupID의 ID는 terminatingRuleId의 ID와 동일합니다.

ruleGroupList

일치 정보가 포함된 이 요청에 작용하는 규칙 그룹의 목록.

terminatingRule

요청을 종료한 규칙. 이 항목이 있는 경우 다음과 같은 정보가 포함됩니다.

작업

종료 조치는 다음과 같습니다. AWS WAF 요청에 적용되었습니다. 이는 허용CAPTCHA, 차단 또는 승인을 나타냅니다. The CAPTCHA 그리고 Challenge 웹 요청에 유효한 토큰이 없으면 작업이 종료됩니다.

ruleId

요청과 일치하는 규칙의 ID입니다.

ruleMatchDetails

요청과 일치하는 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 삽입 및 사이트 간 스크립팅 (XSS) 일치 규칙 명령문에만 입력됩니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

각 규칙에 대해 제공되는 추가 정보는 규칙 구성, 규칙 일치 유형, 일치 세부 정보 등의 요인에 따라 달라집니다. 예를 들어 다음과 같은 규칙이 있습니다.CAPTCHA 또는 Challenge 작업의 경우 captchaResponse challengeResponse OR가 나열됩니다. 일치 규칙이 규칙 그룹에 있고 구성된 규칙 동작을 재정의한 경우 구성된 작업이 에 제공됩니다. overriddenAction

terminatingRuleId

요청을 종료한 규칙의 ID. 요청을 종료하는 규칙이 없으면 이 값은 Default_Action입니다.

terminatingRuleMatch세부 정보

요청과 일치하는 종료 규칙에 대한 자세한 정보입니다. 종료 규칙에는 웹 요청에 대한 검사 프로세스를 종료하는 작업이 포함되어 있습니다. 종료 규칙의 가능한 조치는 다음과 같습니다.Allow, Block, CAPTCHA, 및 Challenge. 웹 요청을 검사하는 동안 요청과 일치하고 종료 작업이 있는 첫 번째 규칙에서 AWS WAF 검사를 중지하고 작업을 적용합니다. 웹 요청에는 일치하는 종료 규칙에 대해 로그에 보고된 위협 외에도 다른 위협이 포함될 수 있습니다.

이는 SQL 삽입 및 사이트 간 스크립팅 (XSS) 일치 규칙 명령문에만 입력됩니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

terminatingRuleType

요청을 종료한 규칙의 유형. 가능한 값은 RATE _BASED,, REGULARGROUP, _ _입니다. MANAGED RULE GROUP

타임스탬프

밀리초 단위의 타임스탬프.

uri

URI요청의 번호.

webaclId

GUID웹의ACL.