Protokollfelder - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollfelder

In der folgenden Liste werden die wichtigsten Protokollfelder beschrieben.

action

Die abschließende Aktion, die für die Anfrage AWS WAF galt. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Abfordern“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.

args

Die Abfragezeichenfolge.

captchaResponse

Der CAPTCHA-Aktionsstatus für die Anfrage, der ausgefüllt wird, wenn eine CAPTCHA Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede CAPTCHA Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die CAPTCHA Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.

Die CAPTCHA Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die CAPTCHA Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. failureReason

ChallengeResponse

Der Status der Challenge-Aktion für die Anfrage, der aufgefüllt wird, wenn eine Challenge Aktion auf die Anfrage angewendet wird. Dieses Feld wird für jede Challenge Aktion aufgefüllt, unabhängig davon, ob sie beendet oder nicht beendet wird. Wenn die Challenge Aktion auf eine Anfrage mehrfach angewendet wurde, wird dieses Feld ab dem Zeitpunkt gefüllt, zu dem die Aktion das letzte Mal angewendet wurde.

Die Challenge Aktion beendet die Überprüfung von Webanfragen, wenn die Anfrage entweder kein Token enthält oder das Token ungültig oder abgelaufen ist. Wenn die Challenge Aktion beendet wird, enthält dieses Feld einen Antwortcode und einen Grund für den Fehler. Wenn die Aktion nicht beendet wird, enthält dieses Feld einen Lösungszeitstempel. Um zwischen einer abschließenden und einer nicht beendenden Aktion zu unterscheiden, können Sie in diesem Feld nach einem nicht leeren Attribut filtern. failureReason

clientIp

Die IP-Adresse des Clients, der die Anforderung sendet.

country

Das Quellland der Anforderung. Wenn AWS WAF das Herkunftsland nicht bestimmt werden kann, wird dieses Feld auf gesetzt. -

excludedRules

Wird nur für Regelgruppenregeln verwendet. Die Liste der Regeln in der Regelgruppe, die von Ihnen ausgeschlossen wurden. Die Aktion für diese Regeln ist auf eingestelltCount.

Wenn Sie mit der Aktionsoption „Regel überschreiben“ eine Regel so überschreiben, dass sie zählt, werden Treffer hier nicht aufgeführt. Sie werden als Aktionspaare action und aufgeführtoverriddenAction.

exclusionType

Ein Typ, der angibt, dass die ausgeschlossene Regel die Aktion hatCount.

ruleId

Die ID der Regel innerhalb der Regelgruppe, die ausgeschlossen ist.

formatVersion

Die Formatversion für das Protokoll.

Header

Die Liste der Header.

httpMethod

Die HTTP-Methode in der Anforderung.

httpRequest

Die Metadaten zu der Anforderung.

httpSourceId

Die ID der zugehörigen Ressource:

  • Für eine CloudFront Amazon-Distribution ist die ID distribution-id in der ARN-Syntax wie folgt:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Für einen Application Load Balancer entspricht die ID load-balancer-id in der ARN-Syntax:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Für eine Amazon API Gateway Gateway-REST-API entspricht die ID api-id in der ARN-Syntax:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Für eine AWS AppSync GraphQL-API ist die ID GraphQLApiId in der ARN-Syntax:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Für einen Amazon Cognito Cognito-Benutzerpool ist die ID user-pool-id in der ARN-Syntax:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Für einen AWS App Runner Dienst ist die ID apprunner-service-id in der ARN-Syntax:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Die Quelle der Anforderung. Mögliche Werte: CF für Amazon CloudFront, APIGW für Amazon API Gateway, ALB für Application Load Balancer, APPSYNC für AWS AppSync, COGNITOIDP für Amazon Cognito, APPRUNNER für App Runner und VERIFIED_ACCESS für Verified Access.

httpVersion

Die HTTP-Version.

JA3-Fingerabdruck

Der JA3-Fingerabdruck der Anfrage.

Anmerkung

Die JA3-Fingerabdruckprüfung ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.

Der JA3-Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält.

Sie geben diesen Wert an, wenn Sie in Ihren Web-ACL-Regeln einen JA3-Fingerabdruckabgleich konfigurieren. Informationen zum Erstellen eines Abgleichs mit dem JA3-Fingerabdruck finden Sie JA3-Fingerabdruck in der Anweisung Anforderungskomponentenoptionen Für eine Regel.

labels

Die Bezeichnungen in der Webanforderung. Diese Bezeichnungen wurden durch Regeln zugewiesen, die zur Auswertung der Anfrage verwendet wurden. AWS WAF protokolliert die ersten 100 Labels.

nonTerminatingMatchingRegeln

Die Liste der nicht abschließenden Regeln, die der Anfrage entsprachen. Jeder Eintrag in der Liste enthält die folgenden Informationen.

action

Die Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies gibt entweder die Anzahl, das CAPTCHA oder die Herausforderung an. Die CAPTCHA und Challenge enden nicht, wenn die Webanforderung ein gültiges Token enthält.

ruleId

Die ID der Regel, die mit der Anforderung übereinstimmt und nicht beendend war.

ruleMatchDetails

Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“ challengeResponse wird beispielsweise das „captchaResponseOder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. overriddenAction

oversizeFields

Die Liste der Felder in der Webanforderung, die von der Web-ACL geprüft wurden und deren AWS WAF Inspektionslimit überschritten wurde. Wenn ein Feld übergroß ist, aber von der Web-ACL nicht überprüft wird, wird es hier nicht aufgeführt.

Diese Liste kann null oder mehr der folgenden Werte enthalten: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS und REQUEST_COOKIES. Weitere Informationen zu übergroßen Feldern finden Sie unter Bearbeitung von übergroßen Anforderungskomponenten in AWS WAF.

rateBasedRuleListe

Die Liste der ratenbasierten Regeln, die auf die Anforderung reagiert haben. Weitere Informationen über ratenbasierte Regeln finden Sie unter Ratenbasierte Regelanweisung.

rateBasedRuleAusweis

Die ID der ratenbasierten Regel, die auf die Anforderung reagiert hat. Wenn die Anforderung hierdurch beendet wurde, ist die ID für rateBasedRuleId mit der ID für terminatingRuleId identisch.

rateBasedRuleName

Der Name der ratenbasierten Regel, die auf die Anforderung reagiert hat.

limitKey

Der Aggregationstyp, den die Regel verwendet. Mögliche Werte sind IP für den Ursprung der Webanfrage, FORWARDED_IP für eine IP, die in einem Header der Anfrage weitergeleitet wird, CUSTOMKEYS für benutzerdefinierte Aggregatschlüsseleinstellungen und CONSTANT für das Zusammenzählen aller Anfragen ohne Aggregation.

limitValue

Wird nur bei der Ratenbegrenzung durch einen einzigen IP-Adresstyp verwendet. Wenn eine Anforderung eine ungültige IP-Adresse enthält, ist der limitvalue INVALID.

maxRateAllowed

Die maximale Anzahl von Anfragen, die im angegebenen Zeitfenster für eine bestimmte Aggregationsinstanz zulässig sind. Die Aggregationsinstanz wird durch die limitKey und alle zusätzlichen Schlüsselspezifikationen definiert, die Sie in der ratenbasierten Regelkonfiguration angegeben haben.

evaluationWindowSec

Die Zeit, die in der Anfrage AWS WAF enthalten ist, wird in Sekunden gezählt.

Benutzerdefinierte Werte

Eindeutige Werte, die durch die ratenbasierte Regel in der Anfrage identifiziert werden. Bei Zeichenkettenwerten werden in den Protokollen die ersten 32 Zeichen des Zeichenkettenwerts gedruckt. Je nach Schlüsseltyp können diese Werte nur für einen Schlüssel gelten, z. B. für eine HTTP-Methode oder eine Abfragezeichenfolge, oder sie können für einen Schlüssel und einen Namen gelten, z. B. für den Header und den Headernamen.

requestHeadersInserted

Die Liste der Kopfzeilen, die für die benutzerdefinierte Bearbeitung von Anforderungen eingefügt werden.

requestId

Die ID der Anforderung, die vom zugrunde liegenden Host-Service generiert wird. Bei Application Load Balancer ist dies die Ablaufverfolgungs-ID. Bei allen anderen ist dies die Anforderungs-ID.

responseCodeSent

Der Antwortcode, der mit einer benutzerdefinierten Antwort gesendet wird.

ruleGroupId

Die ID der Regelgruppe. Wenn die Regel die Anforderung blockiert hat, ist die ID für ruleGroupID mit der ID für terminatingRuleId identisch.

ruleGroupList

Die Liste der Regelgruppen, die auf diese Anfrage reagiert haben, mit Übereinstimmungsinformationen.

terminatingRule

Die Regel, die die Anforderung beendet. Falls diese vorhanden ist, enthält sie die folgenden Informationen.

action

Die abschließende Aktion, die AWS WAF auf die Anfrage angewendet wurde. Dies bedeutet entweder „Zulassen“, „Blockieren“, „CAPTCHA“ oder „Abfordern“. Die Challenge Aktionen CAPTCHA und werden beendet, wenn die Webanforderung kein gültiges Token enthält.

ruleId

Die ID der Regel, die der Anfrage entsprach.

ruleMatchDetails

Detaillierte Informationen zur Regel, die mit der Anforderung übereingestimmt hat. Dieses Feld wird nur für SQL-Injection und Cross-Site Scripting (XSS)-Übereinstimmungsregelanweisungen ausgefüllt. Eine Abgleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

Alle zusätzlichen Informationen, die für jede Regel bereitgestellt werden, hängen von Faktoren wie der Regelkonfiguration, der Art der Regelübereinstimmung und den Details der Übereinstimmung ab. Bei Regeln mit der Challenge Aktion „CAPTCHAOder“ challengeResponse wird beispielsweise das „captchaResponseOder“ aufgeführt. Wenn sich die entsprechende Regel in einer Regelgruppe befindet und Sie die zugehörige konfigurierte Regelaktion außer Kraft gesetzt haben, wird die konfigurierte Aktion in bereitgestellt. overriddenAction

terminatingRuleId

Die ID der Regel, die die Anforderung beendet. Wenn nichts zur Beendigung der Anforderung führt, ist der Wert Default_Action.

terminatingRuleMatchEinzelheiten

Detaillierte Informationen zur Beendigungsregel, die mit der Anforderung übereingestimmt hat. Eine Beendigungsregel verfügt über eine Aktion, die den Inspektionsprozess für eine Webanforderung beendet. Zu den möglichen Aktionen für eine abschließende Regel gehörenAllow, BlockCAPTCHA, undChallenge. Bei der Überprüfung einer Webanforderung wird die Prüfung bei der ersten Regel, die der Anforderung entspricht und die eine abschließende Aktion enthält, AWS WAF beendet und die Aktion angewendet. Die Webanfrage kann zusätzlich zu der Bedrohung, die im Protokoll für die entsprechende Beendungsregel aufgeführt ist, weitere Bedrohungen enthalten.

Dies wird nur für SQL-Injection und Cross-Site Scripting (XSS) -Übereinstimmungsregelanweisungen aufgefüllt. Die Vergleichsregel erfordert möglicherweise eine Übereinstimmung mit mehr als einem Prüfkriterium. Daher werden diese Übereinstimmungsdetails als eine Reihe von Übereinstimmungskriterien bereitgestellt.

terminatingRuleType

Der Typ der Regel, die die Anforderung beendet. Mögliche Werte: RATE_BASED, REGULAR, GROUP und MANAGED_RULE_GROUP.

Zeitstempel

Der Zeitstempel in Millisekunden.

uri

Der URI der Anforderung.

webaclId

Die GUID der Web-ACL.