Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollfelder
In der folgenden Liste werden die wichtigsten Protokollfelder beschrieben.
- action
-
Die abschließende Aktion, die für die Anfrage AWS WAF galt. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Abfordern“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.
- args
-
Die Abfragezeichenfolge.
- captchaResponse
-
Der CAPTCHA-Aktionsstatus für die Anfrage, der ausgefüllt wird, wenn eine CAPTCHA Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede CAPTCHA Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die CAPTCHA Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.
Die CAPTCHA Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die CAPTCHA Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern.
failureReason
- ChallengeResponse
-
Der Status der Challenge-Aktion für die Anfrage, der aufgefüllt wird, wenn eine Challenge Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede Challenge Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die Challenge Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.
Die Challenge Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die Challenge Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern.
failureReason
- clientIp
-
Die IP-Adresse des Clients, der die Anforderung sendet.
- country
-
Das Quellland der Anforderung. Wenn AWS WAF das Herkunftsland nicht bestimmt werden kann, wird dieses Feld auf gesetzt.
-
- excludedRules
-
Wird nur für Regelgruppenregeln verwendet. Die Liste der Regeln in der Regelgruppe, die von Ihnen ausgeschlossen wurden. Die Aktion für diese Regeln ist auf eingestelltCount.
Wenn Sie mit der Aktionsoption „Regel überschreiben“ eine Regel so überschreiben, dass sie zählt, werden Treffer hier nicht aufgeführt. Sie werden als Aktionspaare
action
und aufgeführtoverriddenAction
.- exclusionType
-
Ein Typ, der angibt, dass die ausgeschlossene Regel die Aktion hatCount.
- ruleId
-
Die ID der Regel innerhalb der Regelgruppe, die ausgeschlossen ist.
- formatVersion
-
Die Formatversion für das Protokoll.
- Header
-
Die Liste der Header.
- httpMethod
-
Die HTTP-Methode in der Anforderung.
- httpRequest
-
Die Metadaten zu der Anforderung.
- httpSourceId
-
Die ID der zugehörigen Ressource:
Für eine CloudFront Amazon-Distribution ist die ID
distribution-id
in der ARN-Syntax wie folgt:arn:partitioncloudfront::account-id:distribution/distribution-id
-
Für einen Application Load Balancer entspricht die ID
load-balancer-id
in der ARN-Syntax:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Für eine Amazon API Gateway Gateway-REST-API entspricht die ID
api-id
in der ARN-Syntax:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Für eine AWS AppSync GraphQL-API ist die ID
GraphQLApiId
in der ARN-Syntax:arn:partition:appsync:region:account-id:apis/GraphQLApiId
Für einen Amazon Cognito Cognito-Benutzerpool ist die ID
user-pool-id
in der ARN-Syntax:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Für einen AWS App Runner Dienst ist die ID
apprunner-service-id
in der ARN-Syntax:arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
Die Quelle der Anforderung. Mögliche Werte:
CF
für Amazon CloudFront,APIGW
für Amazon API Gateway,ALB
für Application Load Balancer,APPSYNC
für AWS AppSync,COGNITOIDP
für Amazon Cognito,APPRUNNER
für App Runner undVERIFIED_ACCESS
für Verified Access. - httpVersion
-
Die HTTP-Version.
- JA3-Fingerabdruck
-
Der JA3-Fingerabdruck der Anfrage.
Anmerkung
Die JA3-Fingerabdruckprüfung ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA3-Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält.
Sie geben diesen Wert an, wenn Sie in Ihren Web-ACL-Regeln einen JA3-Fingerabdruckabgleich konfigurieren. Informationen zum Erstellen eines Abgleichs mit dem JA3-Fingerabdruck finden Sie JA3-Fingerabdruck in der Anweisung Anforderungskomponentenoptionen Für eine Regel.
- labels
-
Die Bezeichnungen in der Webanforderung. Diese Bezeichnungen wurden durch Regeln zugewiesen, die zur Auswertung der Anfrage verwendet wurden. AWS WAF protokolliert die ersten 100 Labels.
- nonTerminatingMatchingRegeln
-
Die Liste der nicht abschließenden Regeln, die der Anfrage entsprachen. Jeder Eintrag in der Liste enthält die folgenden Informationen.
- action
-
Die Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies gibt entweder die Anzahl, das CAPTCHA oder die Herausforderung an. Die CAPTCHA und Challenge enden nicht, wenn die Webanforderung ein gültiges Token enthält.
- ruleId
-
Die ID der Regel, die mit der Anforderung übereinstimmt und nicht beendend war.
- ruleMatchDetails
-
Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.
Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“
challengeResponse
wird beispielsweise das „captchaResponse
Oder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt.overriddenAction
- oversizeFields
-
Die Liste der Felder in der Webanforderung, die von der Web-ACL geprüft wurden und deren AWS WAF Inspektionslimit überschritten wurde. Wenn ein Feld übergroß ist, aber von der Web-ACL nicht überprüft wird, wird es hier nicht aufgeführt.
Diese Liste kann null oder mehr der folgenden Werte enthalten:
REQUEST_BODY
,REQUEST_JSON_BODY
,REQUEST_HEADERS
undREQUEST_COOKIES
. Weitere Informationen zu übergroßen Feldern finden Sie unter Bearbeitung von übergroßen Anforderungskomponenten in AWS WAF. - rateBasedRuleListe
-
Die Liste der ratenbasierten Regeln, die auf die Anforderung reagiert haben. Weitere Informationen über ratenbasierte Regeln finden Sie unter Ratenbasierte Regelanweisung.
- rateBasedRuleAusweis
-
Die ID der ratenbasierten Regel, die auf die Anforderung reagiert hat. Wenn die Anforderung hierdurch beendet wurde, ist die ID für
rateBasedRuleId
mit der ID fürterminatingRuleId
identisch. - rateBasedRuleName
-
Der Name der ratenbasierten Regel, die auf die Anforderung reagiert hat.
- limitKey
-
Der Aggregationstyp, den die Regel verwendet. Mögliche Werte sind
IP
für den Ursprung der Webanfrage,FORWARDED_IP
für eine IP, die in einem Header der Anfrage weitergeleitet wird,CUSTOMKEYS
für benutzerdefinierte Aggregatschlüsseleinstellungen undCONSTANT
für das Zusammenzählen aller Anfragen ohne Aggregation. - limitValue
-
Wird nur bei der Ratenbegrenzung durch einen einzigen IP-Adresstyp verwendet. Wenn eine Anforderung eine ungültige IP-Adresse enthält, ist der
limitvalue
INVALID
. - maxRateAllowed
-
Die maximale Anzahl von Anfragen, die im angegebenen Zeitfenster für eine bestimmte Aggregationsinstanz zulässig sind. Die Aggregationsinstanz wird durch die
limitKey
und alle zusätzlichen Schlüsselspezifikationen definiert, die Sie in der ratenbasierten Regelkonfiguration angegeben haben. - evaluationWindowSec
-
Die Zeit, die in der Anfrage AWS WAF enthalten ist, wird in Sekunden gezählt.
- Benutzerdefinierte Werte
-
Eindeutige Werte, die durch die ratenbasierte Regel in der Anfrage identifiziert werden. Bei Zeichenkettenwerten werden in den Protokollen die ersten 32 Zeichen des Zeichenkettenwerts gedruckt. Je nach Schlüsseltyp können diese Werte nur für einen Schlüssel gelten, z. B. für eine HTTP-Methode oder eine Abfragezeichenfolge, oder sie können für einen Schlüssel und einen Namen gelten, z. B. für den Header und den Headernamen.
- requestHeadersInserted
-
Die Liste der Kopfzeilen, die für die benutzerdefinierte Bearbeitung von Anforderungen eingefügt werden.
- requestId
-
Die ID der Anforderung, die vom zugrunde liegenden Host-Service generiert wird. Bei Application Load Balancer ist dies die Ablaufverfolgungs-ID. Bei allen anderen ist dies die Anforderungs-ID.
- responseCodeSent
-
Der Antwortcode, der mit einer benutzerdefinierten Antwort gesendet wird.
- ruleGroupId
-
Die ID der Regelgruppe. Wenn die Regel die Anforderung blockiert hat, ist die ID für
ruleGroupID
mit der ID fürterminatingRuleId
identisch. - ruleGroupList
-
Die Liste der Regelgruppen, die auf diese Anfrage reagiert haben, mit Übereinstimmungsinformationen.
- terminatingRule
-
Die Regel, die die Anforderung beendet. Falls diese vorhanden ist, enthält sie die folgenden Informationen.
- action
-
Die abschließende Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Abfordern“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.
- ruleId
-
Die ID der Regel, die der Anfrage entsprach.
- ruleMatchDetails
-
Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.
Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“
challengeResponse
wird beispielsweise das „captchaResponse
Oder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt.overriddenAction
- terminatingRuleId
-
Die ID der Regel, die die Anforderung beendet. Wenn nichts zur Beendigung der Anforderung führt, ist der Wert
Default_Action
. - terminatingRuleMatchEinzelheiten
-
Detaillierte Informationen zur Beendigungsregel, die mit der Anforderung übereingestimmt hat. Eine Beendigungsregel verfügt über eine Aktion, die den Inspektionsprozess für eine Webanforderung beendet. Zu den möglichen Aktionen für eine abschließende Regel gehörenAllow, BlockCAPTCHA, undChallenge. Bei der Überprüfung einer Webanforderung wird die Prüfung bei der ersten Regel, die der Anforderung entspricht und die eine abschließende Aktion enthält, AWS WAF beendet und die Aktion angewendet. Die Webanfrage kann zusätzlich zu der Bedrohung, die im Protokoll für die entsprechende Beendungsregel aufgeführt ist, weitere Bedrohungen enthalten.
Dies wird nur für SQL-Injection und Cross-Site Scripting (XSS) -Übereinstimmungsregelanweisungen aufgefüllt. Die Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.
- terminatingRuleType
-
Der Typ der Regel, die die Anforderung beendet. Mögliche Werte: RATE_BASED, REGULAR, GROUP und MANAGED_RULE_GROUP.
- Zeitstempel
-
Der Zeitstempel in Millisekunden.
- uri
-
Der URI der Anforderung.
- webaclId
-
Die GUID der Web-ACL.