本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络ACL流量的日志字段
以下列表介绍了可能的日志字段。
- action
-
终止动作 AWS WAF 应用于请求。这表示允许CAPTCHA、屏蔽或质疑。这些区域有:CAPTCHA 以及 Challenge 当 Web 请求不包含有效令牌时,操作即告终止。
- args
-
查询字符串。
- captchaResponse
-
请求的CAPTCHA操作状态,在以下情况下填充 CAPTCHA 操作已应用于请求。此字段中填充了任何 CAPTCHA 操作,无论是终止还是非终止。如果请求有 CAPTCHA 多次应用操作,此字段从上次应用操作时开始填充。
这些区域有:CAPTCHA 当请求不包含令牌或者令牌无效或已过期时,action 会终止 Web 请求检查。如果 CAPTCHA 操作即将终止,此字段包含响应代码和失败原因。如果操作未终止,则此字段包含求解时间戳。要区分终止操作和非终止操作,可以在此字段中筛选非空
failureReason属性。 - challengeResponse
-
请求的质询操作状态,在以下情况下填充 Challenge 操作已应用于请求。此字段中填充了任何 Challenge 操作,无论是终止还是非终止。如果请求有 Challenge 多次应用操作,此字段从上次应用操作时开始填充。
这些区域有:Challenge 当请求不包含令牌或者令牌无效或已过期时,action 会终止 Web 请求检查。如果 Challenge 操作即将终止,此字段包含响应代码和失败原因。如果操作未终止,则此字段包含求解时间戳。要区分终止操作和非终止操作,可以在此字段中筛选非空
failureReason属性。 - clientIp
-
发送请求的客户端的 IP。
- country
-
请求的源国家/地区。如果 AWS WAF 无法确定原产国,它会将此字段设置为
-。 - excludedRules
-
仅用于规则组规则。规则组中您排除的规则的列表。这些规则的操作设置为 Count.
如果您使用覆盖规则操作选项覆盖要计数的规则,则此处不会列出匹配项。它们被列为操作对
action和overriddenAction.- exclusionType
-
表示排除的规则具有操作的类型 Count.
- ruleId
-
规则组中排除的规则的 ID。
- formatVersion
-
日志的格式版本。
- 标头
-
标头的列表。
- httpMethod
-
请求中的HTTP方法。
- httpRequest
-
关于请求的元数据。
- httpSourceId
-
关联资源的ID。
对于 Amazon CloudFront 分配,编号
distribution-id的ARN语法为:arn:partitioncloudfront::account-id:distribution/distribution-id-
对于 Application Load Balancer,其
load-balancer-idARN语法为:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id 对于 Amazon API Gatew REST API ay 来说,ID
api-id的ARN语法为:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name对于 AWS AppSync GraphQLAPI,语法
GraphQLApiId中的 ARN ID 是:arn:partition:appsync:region:account-id:apis/GraphQLApiId对于 Amazon Cognito 用户池,ID 的
user-pool-idARN语法为:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id对于 AWS App Runner 服务,ID 的
apprunner-service-idARN语法为:arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
请求的源。可能的值:
CF对于亚马逊 CloudFront,对于 Amazon Gateway,APIGW对于 Applic APIALBation Load Balancer,APPSYNC对于 AWS AppSync、COGNITOIDP适用于 Amazon Cognito、APPRUNNERApp Runner 和经过验证VERIFIED_ACCESS的访问权限。 - httpVersion
-
HTTP版本。
- ja3Fingerprint
-
请求的JA3指纹。
注意
JA3指纹检查仅适用于 Amazon CloudFront 分配和应用程序负载均衡器。
指JA3纹是一个 32 个字符的哈希值,源自传入请求的 TLS Client Hello。此指纹用作客户端TLS配置的唯一标识符。 AWS WAF 计算并记录每个具有足够的 TLS Client Hello 信息用于计算的请求的此指纹。
在您的 Web ACL 规则中配置指JA3纹匹配时,您需要提供此值。有关创建JA3指纹匹配项的信息,请参阅 for a r 在中请求组件 AWS WAF ule 语句JA3指纹中的。
- 标签
-
Web 请求上的标签。这些标签是由用来评估请求的规则应用的。 AWS WAF 记录前 100 个标签。
- nonTerminatingMatching规则
-
与请求匹配的非终止规则列表。列表中的每个项目都包含以下信息。
- action
-
那个动作 AWS WAF 应用于请求。这表示计数CAPTCHA、或挑战。这些区域有:CAPTCHA 以及 Challenge 当 Web 请求包含有效令牌时,不会终止。
- ruleId
-
与请求匹配并且为非终止规则的 ID。
- ruleMatchDetails
-
有关与请求匹配的规则的详细信息。此字段仅针对SQL注入和跨站脚本 (XSS) 匹配规则语句填充。匹配规则可能需要匹配多个检查条件,因此这些匹配详细信息以匹配条件的形式提供。
为每条规则提供的任何其他信息会因规则配置、规则匹配类型和匹配详细信息等因素而异。例如,对于带有 a 的规则 CAPTCHA 或者 Challenge 操作,
challengeResponse将列出captchaResponse或。如果匹配的规则位于规则组中,并且您已覆盖其配置的规则操作,则中将提供配置的操作。overriddenAction - oversizeFields
-
Web 请求中已通过 Web 检查的字段列表ACL,这些字段已超过 AWS WAF 检查限制。如果字段过大,但网络ACL未对其进行检查,则不会在此处列出。
此列表可以包含以下零个或多个值:
REQUEST_BODY、REQUEST_JSON_BODY、REQUEST_HEADERS和REQUEST_COOKIES。有关超大字段的更多信息,请参阅 在中处理超大的 Web 请求组件 AWS WAF。 - rateBasedRule名单
-
对请求执行操作的基于速率的规则列表。有关基于速率的规则的更多信息,请参阅 在中使用基于费率的规则语句 AWS WAF。
- rateBasedRule我是
-
作用于请求的基于速率的规则的 ID。如果这已终止请求,则
rateBasedRuleId的 ID 与terminatingRuleId的 ID 相同。 - rateBasedRule姓名
-
作用于请求的基于速率的规则的名称。
- limitKey
-
规则使用的聚合类型。可能的值包括:对于 Web 请求来源为
IP,请求标头中转发的 IP 为FORWARDED_IP,自定义聚合键设置为CUSTOMKEYS,将所有请求合并计数(不进行聚合)为CONSTANT。 - limitValue
-
仅在按单个 IP 地址类型限制速率时使用。如果请求包含无效的 IP 地址,则
limitvalue为INVALID。 - maxRateAllowed
-
特定聚合实例在指定时间窗口内允许的最大请求数。聚合实例由
limitKey加上您在基于速率的规则配置中提供的任何其他密钥规范来定义。 - evaluationWindowSec
-
这段时间 AWS WAF 包含在其请求计数中,以秒为单位。
- customValues
-
请求中基于速率的规则标识的唯一值。对于字符串值,日志会打印字符串值的前 32 个字符。根据键类型,这些值可能仅用于一个键,例如HTTP方法或查询字符串,也可能用于键和名称,例如标头和标头名称。
- requestHeadersInserted
-
为处理自定义请求而插入的标头列表。
- requestId
-
请求的 ID,由底层主机服务生成。对于应用程序负载均衡器,这是跟踪 ID。对于所有其他人,这是请求 ID。
- responseCodeSent
-
与自定义响应一起发送的响应代码。
- ruleGroupId
-
规则组的 ID。如果规则阻止了请求,则
ruleGroupID的 ID 与terminatingRuleId的 ID 相同。 - ruleGroupList
-
对该请求进行操作的规则组列表,包含匹配信息。
- terminatingRule
-
终止请求的规则。如果存在,则它包含以下信息。
- action
-
终止动作 AWS WAF 应用于请求。这表示允许CAPTCHA、屏蔽或质疑。这些区域有:CAPTCHA 以及 Challenge 当 Web 请求不包含有效令牌时,操作即告终止。
- ruleId
-
匹配请求的规则的 ID。
- ruleMatchDetails
-
有关与请求匹配的规则的详细信息。此字段仅针对SQL注入和跨站脚本 (XSS) 匹配规则语句填充。匹配规则可能需要匹配多个检查条件,因此这些匹配详细信息以匹配条件的形式提供。
为每条规则提供的任何其他信息会因规则配置、规则匹配类型和匹配详细信息等因素而异。例如,对于带有 a 的规则 CAPTCHA 或者 Challenge 操作,
challengeResponse将列出captchaResponse或。如果匹配的规则位于规则组中,并且您已覆盖其配置的规则操作,则中将提供配置的操作。overriddenAction - terminatingRuleId
-
终止请求的规则的 ID。如果没有任何情况会终止请求,则值为
Default_Action。 - terminatingRuleMatch详情
-
有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则可能采取的操作包括 Allow, Block, CAPTCHA,以及 Challenge。 在检查 Web 请求时,在与请求匹配且具有终止操作的第一条规则中, AWS WAF 停止检查并应用操作。除了日志中报告的匹配终止规则的威胁外,Web 请求可能还包含其他威胁。
只有SQL注入和跨站脚本 (XSS) 匹配规则语句才会填充此内容。匹配规则可能需要匹配多个检查条件,因此这些匹配详细信息以匹配条件的形式提供。
- terminatingRuleType
-
终止请求的规则的类型。可能的值:RATE_ BASED REGULAR GROUP、、和 MANAGED RULE _ GROUP。
- 时间戳
-
时间戳,以毫秒为单位。
- uri
-
请求URI的。
- webaclId
-
网络GUID中的一员ACL。
