Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Champs de journal
La liste suivante décrit les champs de journal possibles.
- action
-
Action de terminaison AWS WAF appliquée à la demande. Cela indique une autorisation, un blocage, un CAPTCHA ou un défi. Les Challenge actions CAPTCHA et prennent fin lorsque la requête Web ne contient pas de jeton valide.
- args
-
Chaîne de requête.
- Réponse au captcha
-
État de l'action CAPTCHA pour la demande, renseigné lorsqu'une CAPTCHA action est appliquée à la demande. Ce champ est renseigné pour toute CAPTCHA action, qu'elle soit terminale ou non. Si l'CAPTCHAaction est appliquée plusieurs fois à une demande, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.
L'CAPTCHAaction met fin à l'inspection des demandes Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'CAPTCHAaction prend fin, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un
failureReason
attribut non vide dans ce champ. - Réponse au défi
-
État de l'action de défi pour la demande, renseigné lorsqu'une Challenge action est appliquée à la demande. Ce champ est renseigné pour toute Challenge action, qu'elle soit terminale ou non. Si l'Challengeaction est appliquée plusieurs fois à une demande, ce champ est renseigné à partir de la dernière fois que l'action a été appliquée.
L'Challengeaction met fin à l'inspection des demandes Web lorsque la demande n'inclut pas de jeton ou lorsque le jeton n'est pas valide ou a expiré. Si l'Challengeaction prend fin, ce champ inclut un code de réponse et le motif de l'échec. Si l'action n'est pas terminée, ce champ inclut un horodatage de résolution. Pour différencier une action terminante d'une action non terminale, vous pouvez filtrer un
failureReason
attribut non vide dans ce champ. - clientIp
-
Adresse IP du client envoyant la requête.
- country
-
Pays source de la requête. S'il n' AWS WAF est pas en mesure de déterminer le pays d'origine, il définit ce champ sur
-
. - excludedRules
-
Utilisé uniquement pour les règles de groupe de règles. Liste des règles dans le groupe de règles que vous avez exclues. L'action associée à ces règles est définie surCount.
Si vous remplacez une règle pour qu'elle soit prise en compte à l'aide de l'option d'action de remplacement de la règle, les correspondances ne sont pas répertoriées ici. Ils sont répertoriés sous forme de paires d'actions
action
etoverriddenAction
.- exclusionType
-
Type qui indique que la règle exclue a une actionCount.
- ruleId
-
ID de la règle au sein du groupe de règles qui est exclu.
- formatVersion
-
Version du format du journal.
- headers
-
Liste des en-têtes.
- httpMethod
-
Méthode HTTP de la requête.
- httpRequest
-
Métadonnées relatives à la requête.
- httpSourceId
-
L'ID de la ressource associée :
Pour une CloudFront distribution Amazon, l'ID est celui indiqué
distribution-id
dans la syntaxe de l'ARN :arn:partitioncloudfront::account-id:distribution/distribution-id
-
Pour un Application Load Balancer, l'ID est le suivant
load-balancer-id
dans la syntaxe de l'ARN :arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Pour une API REST Amazon API Gateway, l'ID est celui
api-id
indiqué dans la syntaxe ARN :arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Pour une API AWS AppSync GraphQL, l'ID est celui indiqué
GraphQLApiId
dans la syntaxe de l'ARN :arn:partition:appsync:region:account-id:apis/GraphQLApiId
Pour un groupe d'utilisateurs Amazon Cognito, l'identifiant est celui indiqué
user-pool-id
dans la syntaxe ARN :arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Pour un AWS App Runner service, l'ID est celui indiqué
apprunner-service-id
dans la syntaxe de l'ARN :arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
Source de la requête. Valeurs possibles :
CF
pour Amazon CloudFront,APIGW
pour Amazon API Gateway,ALB
pour Application Load Balancer,APPSYNC
pour, pour Amazon Cognito AWS AppSyncAPPRUNNER
,COGNITOIDP
pour App RunnerVERIFIED_ACCESS
et pour Verified Access. - httpVersion
-
Version de HTTP.
- Empreinte digitale JA3
-
L'empreinte JA3 de la demande.
Note
L'inspection des empreintes digitales JA3 n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.
L'empreinte JA3 est un hachage de 32 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul.
Vous fournissez cette valeur lorsque vous configurez une correspondance d'empreinte JA3 dans vos règles ACL Web. Pour plus d'informations sur la création d'une correspondance avec l'empreinte JA3, reportez-vous Empreinte digitale JA3 à l'instruction Options de composants de demande for a rule.
- labels
-
Les étiquettes figurant sur la demande Web. Ces labels ont été appliqués par des règles qui ont été utilisées pour évaluer la demande. AWS WAF enregistre les 100 premières étiquettes.
- nonTerminatingMatchingRègles
-
Liste des règles non résilientes correspondant à la demande. Chaque élément de la liste contient les informations suivantes.
- action
-
Action AWS WAF appliquée à la demande. Cela indique soit le nombre, soit le CAPTCHA, soit le défi. ChallengeLes CAPTCHA et ne se terminent pas lorsque la requête Web contient un jeton valide.
- ruleId
-
L'ID de la règle qui correspondait à la demande et qui ne se terminait pas.
- ruleMatchDetails
-
Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles d'injection SQL et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.
Toute information supplémentaire fournie pour chaque règle varie en fonction de facteurs tels que la configuration de la règle, le type de correspondance des règles et les détails de la correspondance. Par exemple, pour les règles comportant une Challenge action CAPTCHA ou, le
captchaResponse
ouchallengeResponse
sera répertorié. Si la règle correspondante se trouve dans un groupe de règles et que vous avez remplacé son action de règle configurée, l'action configurée sera fournie dans.overriddenAction
- Champs surdimensionnés
-
Liste des champs de la requête Web qui ont été inspectés par l'ACL Web et qui dépassent la limite AWS WAF d'inspection. Si un champ est surdimensionné mais que l'ACL Web ne l'inspecte pas, il ne sera pas répertorié ici.
Cette liste peut contenir zéro ou plusieurs des valeurs suivantes :
REQUEST_BODY
REQUEST_JSON_BODY
,REQUEST_HEADERS
, etREQUEST_COOKIES
. Pour plus d'informations sur les champs surdimensionnés, consultezGestion des composants de demande surdimensionnés dans AWS WAF. - rateBasedRuleListe
-
Liste de règles basées sur le débit qui ont agi sur la requête. Pour plus d'informations sur les règles basées sur les taux, consultezInstruction de règle basée sur un taux.
- rateBasedRuleId
-
ID de la règle basée sur le débit qui a agi sur la requête. Si cette règle a résilié la requête, l'ID pour
rateBasedRuleId
est le même que pourterminatingRuleId
. - rateBasedRuleNom
-
Nom de la règle basée sur le taux qui a donné suite à la demande.
- limitKey
-
Type d'agrégation utilisé par la règle. Les valeurs possibles concernent l'origine de la
IP
demande Web,FORWARDED_IP
une adresse IP transmise dans un en-tête de laCUSTOMKEYS
demande, des paramètres clés agrégés personnalisés etCONSTANT
le comptage de toutes les demandes ensemble, sans agrégation. - Valeur limite
-
Utilisé uniquement en cas de limitation du débit par un seul type d'adresse IP. Si une demande contient une adresse IP non valide,
limitvalue
c'estINVALID
. - maxRateAllowed
-
Le nombre maximum de demandes autorisées dans la fenêtre temporelle spécifiée pour une instance d'agrégation spécifique. L'instance d'agrégation est définie par le
limitKey
plus toute spécification clé supplémentaire que vous avez fournie dans la configuration des règles basées sur le taux. - evaluationWindowSec
-
Le temps AWS WAF inclus dans sa demande compte, en secondes.
- Valeurs personnalisées
-
Valeurs uniques identifiées par la règle basée sur le taux dans la demande. Pour les valeurs de chaîne, les journaux impriment les 32 premiers caractères de la valeur de chaîne. Selon le type de clé, ces valeurs peuvent être uniquement pour une clé, comme pour la méthode HTTP ou la chaîne de requête, ou pour une clé et un nom, comme pour l'en-tête et le nom de l'en-tête.
- requestHeadersInserted
-
La liste des en-têtes insérés pour le traitement personnalisé des demandes.
- requestId
-
ID de la demande, qui est généré par le service hôte sous-jacent. Pour Application Load Balancer, il s'agit de l'ID de trace. Pour tous les autres, il s'agit de l'ID de demande.
- responseCodeSent
-
Le code de réponse envoyé avec une réponse personnalisée.
- ruleGroupId
-
ID du groupe de règles. Si la règle a bloqué la requête, l'ID pour
ruleGroupID
est le même que pourterminatingRuleId
. - ruleGroupList
-
Liste des groupes de règles ayant donné suite à cette demande, avec les informations correspondantes.
- terminatingRule
-
Règle qui a mis fin à la demande. S'il est présent, il contient les informations suivantes.
- action
-
Action de terminaison AWS WAF appliquée à la demande. Cela indique une autorisation, un blocage, un CAPTCHA ou un défi. Les Challenge actions CAPTCHA et prennent fin lorsque la requête Web ne contient pas de jeton valide.
- ruleId
-
ID de la règle correspondant à la demande.
- ruleMatchDetails
-
Informations détaillées sur la règle correspondant à la demande. Ce champ est uniquement renseigné pour les instructions de règles d'injection SQL et de correspondance entre les scripts intersites (XSS). Une règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.
Toute information supplémentaire fournie pour chaque règle varie en fonction de facteurs tels que la configuration de la règle, le type de correspondance des règles et les détails de la correspondance. Par exemple, pour les règles comportant une Challenge action CAPTCHA ou, le
captchaResponse
ouchallengeResponse
sera répertorié. Si la règle correspondante se trouve dans un groupe de règles et que vous avez remplacé son action de règle configurée, l'action configurée sera fournie dans.overriddenAction
- terminatingRuleId
-
ID de la règle qui a résilié la requête. Si rien ne résilie la requête, la valeur est
Default_Action
. - terminatingRuleMatchDétails
-
Informations détaillées sur la règle de fin correspondant à la demande. Une règle de fin comporte une action qui met fin au processus d'inspection par rapport à une demande Web. Les actions possibles pour une règle de résiliation incluentAllow, BlockCAPTCHA, etChallenge. Lors de l'inspection d'une requête Web, la première règle correspondant à la demande et comportant une action de fin AWS WAF arrête l'inspection et applique l'action. La requête Web peut contenir d'autres menaces, en plus de celle signalée dans le journal pour la règle de terminaison correspondante.
Cette information n'est renseignée que pour les instructions de règle de correspondance d'injection SQL et de script inter-site (XSS). La règle de correspondance peut nécessiter une correspondance pour plusieurs critères d'inspection. Ces détails de correspondance sont donc fournis sous la forme d'un tableau de critères de correspondance.
- terminatingRuleType
-
Type de règle qui a résilié la requête. Valeurs possibles : RATE_BASED, REGULAR, GROUP et MANAGED_RULE_GROUP.
- timestamp
-
L'horodatage en millisecondes.
- uri
-
URI de la requête.
- webaclId
-
GUID de la liste ACL Web.