Campos de log para tráfego de ACL da Web - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Campos de log para tráfego de ACL da Web

A lista a seguir descreve os possíveis campos dos registros em log.

ação

A ação de encerramento que o AWS WAF aplica à solicitação. Isso indica permissão, bloqueio, CAPTCHA ou desafio. As ações CAPTCHA e Challenge são encerradas quando a solicitação da web não contém um token válido.

args

A string de consulta.

captchaResponse

O status da ação CAPTCHA da solicitação, preenchido quando uma ação CAPTCHA é aplicada à solicitação. Esse campo é preenchido para qualquer ação CAPTCHA, seja ela de encerramento ou não. Se uma solicitação tiver a ação CAPTCHA aplicada várias vezes, esse campo será preenchido a partir da última vez em que a ação foi aplicada.

A ação CAPTCHA encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se a ação CAPTCHA estiver sendo encerrada, esse campo incluirá um código de resposta e um motivo da falha. Se a ação não for finalizada, esse campo incluirá um timestamp de resolução. Para diferenciar entre uma ação de encerramento e uma ação de não encerramento, você pode filtrar por um atributo failureReason não vazio nesse campo.

challengeResponse

O status da ação de desafio da solicitação, preenchido quando uma ação Challenge é aplicada à solicitação. Esse campo é preenchido para qualquer ação Challenge, seja ela de encerramento ou não. Se uma solicitação tiver a ação Challenge aplicada várias vezes, esse campo será preenchido a partir da última vez em que a ação foi aplicada.

A ação Challenge encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se a ação Challenge estiver sendo encerrada, esse campo incluirá um código de resposta e um motivo da falha. Se a ação não for finalizada, esse campo incluirá um timestamp de resolução. Para diferenciar entre uma ação de encerramento e uma ação de não encerramento, você pode filtrar por um atributo failureReason não vazio nesse campo.

clientIp

O endereço IP do cliente que está enviando a solicitação.

country

O país de origem da solicitação. Se o AWS WAF não conseguir determinar o país de origem, ele definirá esse campo como -.

excludedRules

Usado somente para regras de grupo de regras. A lista de regras no grupo de regras que você excluiu. A ação para essas regras é definida como Count.

Se você substituir uma regra para contar usando a opção de ação de substituição da regra, as correspondências não serão listadas aqui. Elas estão listadas como pares de ação action e overriddenAction.

exclusionType

Um tipo que indica que a regra excluída tem a ação Count.

ruleId

O ID da regra no grupo de regras que foi excluída.

formatVersion

A versão do formato do log.

headers

A lista de cabeçalhos.

httpMethod

O método HTTP na solicitação.

httpRequest

Os metadados sobre a solicitação.

httpSourceId

O identificador do recurso associado:

  • Para uma distribuição do Amazon CloudFront, o ID é o distribution-id na sintaxe do ARN:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Para um Application Load Balancer, o ID é o load-balancer-id na sintaxe do ARN:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Para uma API REST do Amazon API Gateway, o ID é o api-id na sintaxe do ARN:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Para uma API AWS AppSync GraphQL, o ID é o GraphQLApiId na sintaxe do ARN:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Para um grupo de usuários do Amazon Cognito, o ID é o user-pool-id na sintaxe do ARN:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Para um serviço do AWS App Runner, o ID é o apprunner-service-id na sintaxe do ARN:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

A origem da solicitação. Valores possíveis: CF para Amazon CloudFront, APIGW para Amazon API Gateway, ALB para Application Load Balancer, APPSYNC para AWS AppSync, COGNITOIDP para Amazon Cognito, APPRUNNER para App Runner e VERIFIED_ACCESS para Verified Access.

httpVersion

A versão HTTP.

ja3Fingerprint

A impressão digital JA3 da solicitação.

nota

A inspeção de impressão digital JA3 está disponível somente para distribuições do Amazon CloudFront e Application Load Balancers.

A impressão digital JA3 é um hash de 32 caracteres derivado do Hello do cliente TLS de uma solicitação recebida. Essa impressão digital serve como identificador exclusivo para a configuração de TLS do cliente. O AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes do Hello do cliente TLS para o cálculo.

Você fornece esse valor ao configurar uma correspondência de impressão digital JA3 em suas regras de web ACL. Para obter informações sobre como criar uma correspondência com a impressão digital JA3, consulte Impressão digital JA3 no Componentes da solicitação no AWS WAF para obter uma instrução de regra.

rótulos

Os rótulos na solicitação da web. Esses rótulos foram aplicados por regras usadas para avaliar a solicitação. O AWS WAF registra os primeiros 100 rótulos.

nonTerminatingMatchingRules

A lista de regras que não são de encerramento que correspondem à solicitação. Cada item na lista contém as seguintes informações.

ação

Essa é a ação que o AWS WAF aplicou à solicitação. Isso indica contagem, CAPTCHA ou desafio. O CAPTCHA e o Challenge são de não encerramento quando a solicitação da web contém um token válido.

ruleId

O ID da regra que correspondeu à solicitação e que não era de encerramento.

ruleMatchDetails

Informações detalhadas sobre a regra que correspondeu à solicitação. Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com uma ação CAPTCHA ou Challenge, o captchaResponse ou challengeResponse será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em overriddenAction.

oversizeFields

A lista de campos na solicitação da web que foram inspecionados pela web ACL e que estão acima do limite de inspeção do AWS WAF. Se um campo for muito grande, mas a web ACL não o inspecionar, ele não será listado aqui.

Essa lista pode conter zero ou mais dos seguintes valores: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS e REQUEST_COOKIES. Para obter mais informações sobre os campos de tamanho acima do limite, consulte Como tratar componentes de solicitação da web de tamanho grande no AWS WAF.

rateBasedRuleList

A lista de regras baseadas em taxas que agiram na solicitação. Para obter mais informações sobre regras baseadas em intervalos, consulte Como usar instruções de regras baseadas em intervalos no AWS WAF.

rateBasedRuleId

O ID da regra baseada em taxa que agiu na solicitação. Se isso encerrou a solicitação, o ID para rateBasedRuleId será o mesmo que o ID para terminatingRuleId.

rateBasedRuleName

O ID da regra baseada em intervalos que agiu na solicitação.

limitKey

O tipo de agregação que a regra está usando. Os valores possíveis são IP para a origem da solicitação da web, FORWARDED_IP para um IP encaminhado em um cabeçalho na solicitação, CUSTOMKEYS para configurações personalizadas de chave agregada e CONSTANT para contar todas as solicitações juntas, sem agregação.

limitValue

Usado somente quando o intervalo é limitado por um único tipo de endereço IP. Se uma solicitação contiver um endereço IP que não seja válido, o limitvalue é INVALID.

maxRateAllowed

O número máximo de solicitações permitidas na janela de tempo especificada para uma instância de agregação específica. A instância de agregação é definida pelo limitKey mais quaisquer especificações de chave adicionais que você forneceu na configuração da regra baseada em intervalos.

evaluationWindowSec

O tempo que o AWS WAF incluiu na solicitação é contabilizado, em segundos.

customValues

Valores exclusivos identificados pela regra baseada em intervalos na solicitação. Para valores de string, os registros imprimem os primeiros 32 caracteres do valor da string. Dependendo do tipo de chave, esses valores podem ser apenas para uma chave, como para o método HTTP ou string de consulta, ou podem ser para uma chave e um nome, como para o cabeçalho e o nome do cabeçalho.

requestHeadersInserted

A lista de cabeçalhos inseridos para tratamento personalizado de solicitações.

requestId

O ID da solicitação, que é gerado pelo serviço de host subjacente. Para o Application Load Balancer, esse é o ID de rastreamento. Para todos os outros, esse é o ID da solicitação.

responseCodeSent

O código de resposta enviado com uma resposta personalizada.

ruleGroupId

O ID do grupo de regras. Se a regra bloqueou a solicitação, o ID para ruleGroupID será o mesmo que o ID para terminatingRuleId.

ruleGroupList

A lista de grupos de regras que agiram nessa solicitação, com informações de correspondência.

terminatingRule

O tipo de regra que encerrou a solicitação. Se estiver presente, ele contém as seguintes informações.

ação

A ação de encerramento que o AWS WAF aplica à solicitação. Isso indica permissão, bloqueio, CAPTCHA ou desafio. As ações CAPTCHA e Challenge são encerradas quando a solicitação da web não contém um token válido.

ruleId

A ID da regra que corresponde à solicitação.

ruleMatchDetails

Informações detalhadas sobre a regra que correspondeu à solicitação. Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com uma ação CAPTCHA ou Challenge, o captchaResponse ou challengeResponse será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em overriddenAction.

terminatingRuleId

O ID da regra que encerrou a solicitação. Se nada encerrar a solicitação, o valor será Default_Action.

terminatingRuleMatchDetails

Informações detalhadas sobre a regra de encerramento que correspondeu à solicitação. Uma regra de encerramento tem uma ação que encerra o processo de inspeção em relação a uma solicitação da Web. As ações possíveis para uma regra de rescisão incluem Allow, Block, CAPTCHA e Challenge. Durante a inspeção de uma solicitação da web, na primeira regra que corresponda à solicitação e que tenha uma ação de encerramento, o AWS WAF interrompe a inspeção e aplica a ação. A solicitação da web pode conter outras ameaças, além da que é relatada no log da regra de encerramento correspondente.

Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). A regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência.

terminatingRuleType

O tipo de regra que encerrou a solicitação. Valores possíveis: RATE_BASED, REGULAR, GROUP e MANAGED_RULE_GROUP.

timestamp

O timestamp em milissegundos.

uri

O URI da solicitação.

webaclId

O GUID da web ACL.