Bidang log - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bidang log

Daftar berikut menjelaskan bidang log yang mungkin.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.

argumen

String kueri.

CaptCharesponse

Status tindakan CAPTCHA untuk permintaan, diisi saat CAPTCHA tindakan diterapkan ke permintaan. Bidang ini diisi untuk CAPTCHA tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki CAPTCHA tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

CAPTCHATindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika CAPTCHA tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

ChallengeResponse

Status tindakan tantangan untuk permintaan, diisi saat Challenge tindakan diterapkan pada permintaan. Bidang ini diisi untuk Challenge tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki Challenge tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

ChallengeTindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika Challenge tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

clientIp

Alamat IP klien yang mengirim permintaan.

negeri

Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini ke-.

excludedRules

Digunakan hanya untuk aturan kelompok aturan. Daftar aturan dalam grup aturan yang telah Anda kecualikan. Tindakan untuk aturan ini diatur keCount.

Jika Anda mengganti aturan untuk dihitung menggunakan opsi tindakan aturan ganti, kecocokan tidak tercantum di sini. Mereka terdaftar sebagai pasangan aksi action danoverriddenAction.

exclusionType

Jenis yang menunjukkan bahwa aturan yang dikecualikan memiliki tindakanCount.

ruleId

ID aturan dalam kelompok aturan yang dikecualikan.

formatVersion

Versi format untuk log.

headers

Daftar header.

httpMethod

Metode HTTP dalam permintaan.

httpRequest

Metadata tentang permintaan.

httpSourceId

ID sumber daya terkait:

  • Untuk CloudFront distribusi Amazon, ID adalah distribution-id dalam sintaks ARN:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Untuk Application Load Balancer, ID adalah load-balancer-id dalam sintaks ARN:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Untuk API REST Amazon API Gateway, ID adalah api-id dalam sintaks ARN:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Untuk AWS AppSync GraphQL API, ID adalah GraphQLApiId dalam sintaks ARN:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Untuk kumpulan pengguna Amazon Cognito, ID adalah user-pool-id dalam sintaks ARN:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Untuk AWS App Runner layanan, ID adalah apprunner-service-id dalam sintaks ARN:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Sumber permintaan. Nilai yang memungkinkan: CF untuk Amazon CloudFront, APIGW untuk Amazon API Gateway, ALB untuk Application Load Balancer, APPSYNC untuk, untuk Amazon Cognito AWS AppSync, COGNITOIDP untuk App RunnerAPPRUNNER, VERIFIED_ACCESS dan untuk Akses Terverifikasi.

httpVersion

Versi HTTP.

Ja3sidik jari

Sidik jari JA3 dari permintaan tersebut. Sidik jari JA3 adalah hash 32 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.

Anda memberikan nilai ini ketika Anda mengonfigurasi kecocokan sidik jari JA3 dalam aturan ACL web Anda. Untuk informasi tentang membuat kecocokan dengan sidik jari JA3, lihat Sidik jari JA3 di Minta opsi komponen untuk pernyataan aturan.

label

Label pada permintaan web. Label ini diterapkan oleh aturan yang digunakan untuk mengevaluasi permintaan. AWS WAF mencatat 100 label pertama.

nonTerminatingMatchingAturan

Daftar aturan non-penghentian yang cocok dengan permintaan. Setiap item dalam daftar berisi informasi berikut.

tindakan

Tindakan yang AWS WAF diterapkan pada permintaan. Ini menunjukkan hitungan, CAPTCHA, atau tantangan. The CAPTCHA and Challenge non-terminating ketika permintaan web berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan dan tidak mengakhiri.

ruleMatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

OversizeFields

Daftar bidang dalam permintaan web yang diperiksa oleh ACL web dan yang melebihi batas AWS WAF inspeksi. Jika bidang terlalu besar tetapi ACL web tidak memeriksanya, itu tidak akan tercantum di sini.

Daftar ini dapat berisi nol atau lebih dari nilai-nilai berikut:REQUEST_BODY,REQUEST_JSON_BODY,REQUEST_HEADERS, danREQUEST_COOKIES. Untuk informasi selengkapnya tentang bidang oversize, lihatMenangani komponen permintaan web yang terlalu besar di AWS WAF.

rateBasedRuleDaftar

Daftar aturan berbasis tarif yang bertindak atas permintaan. Untuk informasi tentang aturan berbasis tarif, lihat. Pernyataan aturan berbasis tarif

rateBasedRuleId

ID aturan berbasis tarif yang bertindak atas permintaan. Jika ini telah menghentikan permintaan, ID untuk rateBasedRuleId sama dengan ID untukterminatingRuleId.

rateBasedRuleNama

Nama aturan berbasis tarif yang bertindak atas permintaan.

limitKey

Jenis agregasi yang digunakan aturan. Nilai yang mungkin adalah IP untuk asal permintaan web, FORWARDED_IP untuk IP yang diteruskan dalam header dalam permintaan, CUSTOMKEYS untuk pengaturan kunci agregat kustom. dan CONSTANT untuk menghitung semua permintaan bersama-sama, tanpa agregasi.

LimitValue

Digunakan hanya ketika tingkat dibatasi oleh satu jenis alamat IP. Jika permintaan berisi alamat IP yang tidak valid, limitvalue adalahINVALID.

maxRateAllowed

Jumlah maksimum permintaan yang diizinkan dalam jendela waktu yang ditentukan untuk contoh agregasi tertentu. Instans agregasi ditentukan oleh limitKey plus setiap spesifikasi kunci tambahan yang telah Anda berikan dalam konfigurasi aturan berbasis laju.

evaluationWindowSec

Jumlah waktu yang AWS WAF termasuk dalam permintaannya dihitung, dalam hitungan detik.

CustomValues

Nilai unik yang diidentifikasi oleh aturan berbasis tarif dalam permintaan. Untuk nilai string, log mencetak 32 karakter pertama dari nilai string. Tergantung pada jenis kunci, nilai-nilai ini mungkin hanya untuk kunci, seperti untuk metode HTTP atau string kueri, atau mereka mungkin untuk kunci dan nama, seperti untuk header dan nama header.

requestHeadersInserted

Daftar header dimasukkan untuk penanganan permintaan kustom.

requestId

ID permintaan, yang dihasilkan oleh layanan host yang mendasarinya. Untuk Application Load Balancer, ini adalah ID jejak. Untuk semua yang lain, ini adalah ID permintaan.

responseCodeSent

Kode respon dikirim dengan respon kustom.

ruleGroupId

ID dari grup aturan. Jika aturan memblokir permintaan, ID ruleGroupID untuk sama dengan ID untukterminatingRuleId.

ruleGroupList

Daftar grup aturan yang bertindak atas permintaan ini, dengan informasi kecocokan.

terminatingRule

Aturan yang mengakhiri permintaan. Jika ini ada, itu berisi informasi berikut.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan.

ruleMatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

terminatingRuleId

ID aturan yang mengakhiri permintaan. Jika tidak ada yang mengakhiri permintaan, nilainya adalahDefault_Action.

terminatingRuleMatchDetail

Informasi terperinci tentang aturan penghentian yang cocok dengan permintaan. Aturan penghentian memiliki tindakan yang mengakhiri proses inspeksi terhadap permintaan web. Tindakan yang mungkin untuk aturan penghentian termasukAllow,, BlockCAPTCHA, danChallenge. Selama inspeksi permintaan web, pada aturan pertama yang cocok dengan permintaan dan yang memiliki tindakan AWS WAF penghentian, menghentikan inspeksi dan menerapkan tindakan. Permintaan web mungkin berisi ancaman lain, selain yang dilaporkan dalam log untuk aturan penghentian yang cocok.

Ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria inspeksi, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

terminatingRuleType

Jenis aturan yang mengakhiri permintaan. Nilai yang mungkin: RATE_BASED, REGULAR, GROUP, dan MANAGED_RULE_GROUP.

timestamp

Stempel waktu dalam milidetik.

uri

URI permintaan.

webaclId

GUID dari web ACL.