Campos de registro para ACL tráfego na web - AWS WAF, AWS Firewall Manager e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Campos de registro para ACL tráfego na web

A lista a seguir descreve os possíveis campos dos registros em log.

ação

A ação de encerramento que AWS WAF aplicado à solicitação. Isso indica permitirCAPTCHA, bloquear ou desafiar. A ferramenta CAPTCHA e Challenge as ações são encerradas quando a solicitação da web não contém um token válido.

args

A string de consulta.

captchaResponse

O status da CAPTCHA ação da solicitação, preenchido quando um CAPTCHA a ação é aplicada à solicitação. Esse campo é preenchido para qualquer CAPTCHA ação, seja ela terminante ou não terminante. Se uma solicitação tiver o CAPTCHA ação aplicada várias vezes, esse campo é preenchido a partir da última vez em que a ação foi aplicada.

A ferramenta CAPTCHA A ação encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se o CAPTCHA a ação está terminando, esse campo inclui um código de resposta e o motivo da falha. Se a ação não for finalizada, esse campo incluirá um carimbo de data/hora de resolução. Para diferenciar entre uma ação de encerramento e uma ação não encerradora, você pode filtrar por um atributo não vazio nesse campofailureReason.

challengeResponse

O status da ação de desafio da solicitação, preenchido quando um Challenge a ação é aplicada à solicitação. Esse campo é preenchido para qualquer Challenge ação, seja ela terminante ou não terminante. Se uma solicitação tiver o Challenge ação aplicada várias vezes, esse campo é preenchido a partir da última vez em que a ação foi aplicada.

A ferramenta Challenge A ação encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se o Challenge a ação está terminando, esse campo inclui um código de resposta e o motivo da falha. Se a ação não for finalizada, esse campo incluirá um carimbo de data/hora de resolução. Para diferenciar entre uma ação de encerramento e uma ação não encerradora, você pode filtrar por um atributo não vazio nesse campofailureReason.

clientIp

O endereço IP do cliente que está enviando a solicitação.

country

O país de origem da solicitação. If (Se) AWS WAF não consegue determinar o país de origem, ele define esse campo como-.

excludedRules

Usado somente para regras de grupo de regras. A lista de regras no grupo de regras que você excluiu. A ação para essas regras está definida como Count.

Se você substituir uma regra para contar usando a opção de ação de substituição da regra, as correspondências não serão listadas aqui. Elas estão listadas como pares de ação action e overriddenAction.

exclusionType

Um tipo que indica que a regra excluída tem a ação Count.

ruleId

O ID da regra no grupo de regras que foi excluída.

formatVersion

A versão do formato do log.

headers

A lista de cabeçalhos.

httpMethod

O HTTP método na solicitação.

httpRequest

Os metadados sobre a solicitação.

httpSourceId

O identificador do recurso associado:

  • Para uma CloudFront distribuição da Amazon, o ID está distribution-id na ARN sintaxe:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Para um Application Load Balancer, o ID está load-balancer-id na sintaxe: ARN

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Para um Amazon API Gateway RESTAPI, o ID está api-id na ARN sintaxe:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Para um AWS AppSync GraphQLAPI, o ID está GraphQLApiId na sintaxe: ARN

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Para um grupo de usuários do Amazon Cognito, o ID está user-pool-id na sintaxe: ARN

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Para um AWS App Runner serviço, o ID está apprunner-service-id na ARN sintaxe:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

A origem da solicitação. Valores possíveis: CF para Amazon CloudFront, APIGW para Amazon API Gateway, ALB para Application Load Balancer, para APPSYNC AWS AppSync, COGNITOIDP para o Amazon Cognito, APPRUNNER para o App Runner e VERIFIED_ACCESS para o Acesso Verificado.

httpVersion

A HTTP versão.

ja3Fingerprint

A JA3 impressão digital da solicitação.

nota

JA3a inspeção de impressão digital está disponível somente para CloudFront distribuições da Amazon e Application Load Balancers.

A JA3 impressão digital é um hash de 32 caracteres derivado do TLS Client Hello de uma solicitação recebida. Essa impressão digital serve como um identificador exclusivo para a TLS configuração do cliente. AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes TLS do Client Hello para o cálculo.

Você fornece esse valor ao configurar uma correspondência de JA3 impressão digital em suas ACL regras da web. Para obter informações sobre como criar uma correspondência com a JA3 impressão digital, consulte JA3impressão digital Solicitar componentes em AWS WAF para obter uma declaração de regra.

rótulos

Os rótulos na solicitação da web. Esses rótulos foram aplicados por regras usadas para avaliar a solicitação. AWS WAF registra os primeiros 100 rótulos.

nonTerminatingMatchingRegras

A lista de regras não encerradas que corresponderam à solicitação. Cada item na lista contém as seguintes informações.

ação

A ação que AWS WAF aplicado à solicitação. Isso indica contagem CAPTCHA ou desafio. A ferramenta CAPTCHA e Challenge não terminam quando a solicitação da web contém um token válido.

ruleId

O ID da regra que correspondeu à solicitação e que não era de encerramento.

ruleMatchDetails

Informações detalhadas sobre a regra que correspondeu à solicitação. Esse campo é preenchido somente para instruções de regra de correspondência de SQL injeção e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com um CAPTCHA ou Challenge ação, o captchaResponse ou challengeResponse será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em. overriddenAction

oversizeFields

A lista de campos na solicitação da web que foram inspecionados pela web ACL e que estão sobre o AWS WAF limite de inspeção. Se um campo for grande, mas a Web ACL não o inspecionar, ele não será listado aqui.

Essa lista pode conter zero ou mais dos seguintes valores: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS e REQUEST_COOKIES. Para obter mais informações sobre os campos de tamanho acima do limite, consulte Lidando com componentes de solicitação da Web de tamanho grande em AWS WAF.

rateBasedRuleLista

A lista de regras baseadas em taxas que agiram na solicitação. Para obter mais informações sobre regras baseadas em intervalos, consulte Usando declarações de regras baseadas em taxas em AWS WAF.

rateBasedRuleIdentificação

O ID da regra baseada em taxa que agiu na solicitação. Se isso encerrou a solicitação, o ID para rateBasedRuleId será o mesmo que o ID para terminatingRuleId.

rateBasedRuleNome

O ID da regra baseada em intervalos que agiu na solicitação.

limitKey

O tipo de agregação que a regra está usando. Os valores possíveis são IP para a origem da solicitação da web, FORWARDED_IP para um IP encaminhado em um cabeçalho na solicitação, CUSTOMKEYS para configurações personalizadas de chave agregada e CONSTANT para contar todas as solicitações juntas, sem agregação.

limitValue

Usado somente quando o intervalo é limitado por um único tipo de endereço IP. Se uma solicitação contiver um endereço IP que não seja válido, o limitvalue é INVALID.

maxRateAllowed

O número máximo de solicitações permitidas na janela de tempo especificada para uma instância de agregação específica. A instância de agregação é definida pelo limitKey acréscimo de quaisquer especificações de chave adicionais que você tenha fornecido na configuração da regra baseada em taxas.

evaluationWindowSec

A quantidade de tempo que AWS WAF incluído em suas contagens de solicitações, em segundos.

customValues

Valores exclusivos identificados pela regra baseada em intervalos na solicitação. Para valores de string, os registros imprimem os primeiros 32 caracteres do valor da string. Dependendo do tipo de chave, esses valores podem ser apenas para uma chave, como para HTTP método ou sequência de consulta, ou podem ser para uma chave e um nome, como para cabeçalho e nome do cabeçalho.

requestHeadersInserted

A lista de cabeçalhos inseridos para tratamento personalizado de solicitações.

requestId

O ID da solicitação, que é gerado pelo serviço de host subjacente. Para o Application Load Balancer, esse é o ID de rastreamento. Para todos os outros, esse é o ID da solicitação.

responseCodeSent

O código de resposta enviado com uma resposta personalizada.

ruleGroupId

O ID do grupo de regras. Se a regra bloqueou a solicitação, o ID para ruleGroupID será o mesmo que o ID para terminatingRuleId.

ruleGroupList

A lista de grupos de regras que agiram nessa solicitação, com informações de correspondência.

terminatingRule

O tipo de regra que encerrou a solicitação. Se isso estiver presente, ele conterá as seguintes informações.

ação

A ação de encerramento que AWS WAF aplicado à solicitação. Isso indica permitirCAPTCHA, bloquear ou desafiar. A ferramenta CAPTCHA e Challenge as ações são encerradas quando a solicitação da web não contém um token válido.

ruleId

A ID da regra que corresponde à solicitação.

ruleMatchDetails

Informações detalhadas sobre a regra que correspondeu à solicitação. Esse campo é preenchido somente para instruções de regra de correspondência de SQL injeção e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com um CAPTCHA ou Challenge ação, o captchaResponse ou challengeResponse será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em. overriddenAction

terminatingRuleId

O ID da regra que encerrou a solicitação. Se nada encerrar a solicitação, o valor será Default_Action.

terminatingRuleMatchDetalhes

Informações detalhadas sobre a regra de encerramento que correspondeu à solicitação. Uma regra de encerramento tem uma ação que encerra o processo de inspeção em relação a uma solicitação da Web. As ações possíveis para uma regra de rescisão incluem Allow, Block, CAPTCHA e Challenge. Durante a inspeção de uma solicitação da web, na primeira regra que corresponda à solicitação e que tenha uma ação de encerramento, AWS WAF interrompe a inspeção e aplica a ação. A solicitação da web pode conter outras ameaças, além da que é relatada no log da regra de encerramento correspondente.

Isso só é preenchido para instruções de regra de correspondência de SQL injeção e cross-site scripting (XSS). A regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

terminatingRuleType

O tipo de regra que encerrou a solicitação. Valores possíveis: RATE _ BASEDREGULAR,GROUP, e MANAGED _ RULE _GROUP.

timestamp

O timestamp em milissegundos.

uri

O URI da solicitação.

webaclId

O GUID da webACL.