本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路ACL流量的記錄欄位
下列清單說明可能的記錄檔欄位。
- 動作
-
終止動作 AWS WAF 應用於請求。這表示允許CAPTCHA、封鎖或挑戰。所以此 CAPTCHA 以及 Challenge 當 Web 請求不包含有效令牌時,操作正在終止。
- args
-
查詢字串。
- captchaResponse
-
請求的CAPTCHA動作狀態,當 CAPTCHA 動作被應用到請求。此欄位已填入任何欄位 CAPTCHA 動作,無論是終止還是非終止。如果請求具有 CAPTCHA 多次套用動作,此欄位會從上次套用動作開始填入。
所以此 CAPTCHA 當請求不包含令牌或令牌無效或過期時,操作終止 Web 請求檢查。如果 CAPTCHA 動作正在終止,此欄位包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason屬性。 - challengeResponse
-
請求的挑戰動作狀態,填入時 Challenge 動作被應用到請求。此欄位已填入任何欄位 Challenge 動作,無論是終止還是非終止。如果請求具有 Challenge 多次套用動作,此欄位會從上次套用動作開始填入。
所以此 Challenge 當請求不包含令牌或令牌無效或過期時,操作終止 Web 請求檢查。如果 Challenge 動作正在終止,此欄位包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason屬性。 - clientIp
-
傳送請求的用戶端 IP 地址。
- 國家/地區
-
請求來源的國家/地區。If AWS WAF 無法確定原產國,它會將此欄位設定為
-。 - excludedRules
-
僅用於規則群組規則。規則群組中已排除的規則清單。這些規則的動作設定為 Count.
如果您使用覆寫規則動作選項覆寫要計數的規則,則此處不會列出相符項目。它們被列為動作配對
action和overriddenAction。- exclusionType
-
表示排除的規則具有動作的類型 Count.
- ruleId
-
在規則群組中被排除的規則 ID。
- formatVersion
-
日誌的格式版本。
- 標頭
-
標題清單。
- httpMethod
-
請求中的HTTP方法。
- httpRequest
-
請求的中繼資料。
- httpSourceId
-
關聯資源的 ID:
對於 Amazon CloudFront 分發,ID 是ARN語法
distribution-id中的:arn:partitioncloudfront::account-id:distribution/distribution-id-
對於 Application Load Balancer,ID 是ARN語法
load-balancer-id中的:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id 對於 Amazon API 網關 RESTAPI,ID 是ARN語法
api-id中的:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name對於一個 AWS AppSync GraphQL 中API,該識別碼是在ARN語法
GraphQLApiId中的:arn:partition:appsync:region:account-id:apis/GraphQLApiId對於 Amazon Cognito 使用者集區,ID 的ARN語法如下
user-pool-id所示:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id對於一個 AWS App Runner 服務中,ID 是ARN語法
apprunner-service-id中的:arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
請求的來源。可能的值:
CF對於 Amazon CloudFront,APIGWAmazon API 閘道,應ALB用程式負載平衡APPSYNC器, AWS AppSync,COGNITOIDP適用於 Amazon Cognito、應APPRUNNER用程式執行器,以及已驗VERIFIED_ACCESS證存取權。 - httpVersion
-
版HTTP本。
- 指紋
-
要求的JA3指紋。
注意
JA3指紋檢測僅適用於 Amazon CloudFront 分發和應用程式負載平衡器。
指JA3紋是從傳入要求的TLS用戶端 Hello 衍生出來的 32 個字元的雜湊。此指紋可做為用戶端TLS組態的唯一識別碼。 AWS WAF 針對具有足夠TLS用於計算的 Client Hello 資訊的每個要求,計算並記錄此指紋。
當您在 Web ACL 規則中設定JA3指紋比對時,請提供此值。如需有關針對JA3指紋建立相符項目的資訊,請參閱《請求元件 AWS WAF for a rule 陳述式》JA3指紋中的〈〉。
- labels
-
網頁要求上的標籤。這些標籤是由用來評估請求的規則所套用。 AWS WAF 記錄前 100 個標籤。
- nonTerminatingMatching規則
-
符合要求的非終止規則清單。清單中的每個項目都包含下列資訊。
- 動作
-
該行動 AWS WAF 應用於請求。這表示計數CAPTCHA,或挑戰。所以此 CAPTCHA 以及 Challenge 當 Web 請求包含有效令牌時,不會終止。
- ruleId
-
符合要求且未終止的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。此欄位僅針對SQL插入和跨網站指令碼 (XSS) 比對規則陳述式填入。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有 CAPTCHA 或 Challenge 動作,
captchaResponse或challengeResponse將會列出。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction。 - oversizeFields
-
Web 請求中由 Web 檢查的字段列表,ACL並且在 AWS WAF 檢查限制。如果某個字段過大,但網絡ACL沒有檢查它,它不會在這裡列出。
此清單可以包含零個或多個下列值:
REQUEST_BODYREQUEST_JSON_BODY、REQUEST_HEADERS、和REQUEST_COOKIES。若要取得有關過大欄位的更多資訊,請參閱處理過大的 Web 請求組件 AWS WAF。 - rateBasedRule清單
-
處理請求的以速率為基礎的規則名單。如需以比率為基礎的規則的資訊,請參閱使用速率型規則陳述式 AWS WAF。
- rateBasedRule識別碼
-
處理請求的速率規則 ID。若此項目已終止請求,則
rateBasedRuleId的 ID 將與terminatingRuleId的 ID 相同。 - rateBasedRule名稱
-
根據請求採取行動的以費率為基準的規則名稱。
- limitKey
-
規則使用的彙總類型。可能的值是
IP針對 Web 請求來源,FORWARDED_IP對於在請求標題中轉發的 IP,用CUSTOMKEYS於自定義彙總密鑰設置。並用CONSTANT於將所有請求一起計數,而不進行聚合。 - limitValue
-
僅在以單一 IP 位址類型限制速率時使用。如果要求包含無效的 IP 位址,則
limitvalue為INVALID. - maxRateAllowed
-
特定聚總執行處理在指定時間範圍內允許的要求數目上限。彙總執行個體由
limitKey加上您在以速率為基礎的規則組態中提供的任何其他索引鍵規格所定義。 - evaluationWindowSec
-
的時間量, AWS WAF 包含在其請求計數中,以秒為單位。
- customValues
-
請求中以比率為基準的規則所識別的唯一值。對於字串值,記錄會列印字串值的前 32 個字元。視金鑰類型而定,這些值可能只適用於索引鍵,例如用於HTTP方法或查詢字串,也可能用於索引鍵和名稱,例如用於標頭和標頭名稱。
- requestHeadersInserted
-
插入用於自訂要求處理的標頭清單。
- requestId
-
請求的 ID,由基礎主機服務產生。對於 Application Load Balancer,這是追蹤識別碼。對於所有其他人,這是請求 ID。
- responseCodeSent
-
隨自訂回應傳送的回應碼。
- ruleGroupId
-
規則群組的 ID。若規則封鎖請求,則
ruleGroupID的 ID 將與terminatingRuleId的 ID 相同。 - ruleGroupList
-
針對此要求採取動作的規則群組清單,以及比對資訊。
- terminatingRule
-
終止要求的規則。如果存在,則它包含以下信息。
- 動作
-
終止動作 AWS WAF 應用於請求。這表示允許CAPTCHA、封鎖或挑戰。所以此 CAPTCHA 以及 Challenge 當 Web 請求不包含有效令牌時,操作正在終止。
- ruleId
-
符合要求的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。此欄位僅針對SQL插入和跨網站指令碼 (XSS) 比對規則陳述式填入。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有 CAPTCHA 或 Challenge 動作,
captchaResponse或challengeResponse將會列出。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction。 - terminatingRuleId
-
終止請求的規則 ID。如果無法終止請求,則值為
Default_Action。 - terminatingRuleMatch詳情
-
符合請求之終止規則的詳細資訊。終止規則對 Web 請求具有結束檢查程序的動作。終止規則的可能動作包括 Allow, Block, CAPTCHA 和 Challenge。 在檢查 Web 要求期間,在符合要求且具有終止動作的第一個規則中, AWS WAF 停止檢查並套用動作。除了記錄檔中針對相符終止規則報告的安全威脅外,Web 要求可能還包含其他安全威脅。
這只會針對SQL插入和跨網站指令碼 (XSS) 比對規則陳述式填入。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
- terminatingRuleType
-
終止請求的規則類型。可能的值:RATE_ BASED REGULAR、GROUP、和 MANAGED _ RULE _ GROUP。
- timestamp
-
時間戳記,以毫秒為單位。
- uri
-
要求URI的。
- webaclId
-
網路GUID的ACL。
