Campi di log

L'elenco seguente descrive i possibili campi di registro.

action

L'azione di terminazione AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.

args

Stringa query.

Risposta CAPTCHA

Lo stato dell'azione CAPTCHA per la richiesta, compilato quando viene applicata un'CAPTCHAazione alla richiesta. Questo campo viene compilato per qualsiasi CAPTCHA azione, terminante o non terminante. Se una richiesta ha l'CAPTCHAazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'CAPTCHAazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'CAPTCHAazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

Risposta alla sfida

Lo stato dell'azione di sfida per la richiesta, compilato quando un'Challengeazione viene applicata alla richiesta. Questo campo viene compilato per qualsiasi Challenge azione, terminante o non terminante. Se una richiesta ha l'Challengeazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'Challengeazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'Challengeazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

clientIp

Indirizzo IP del client che invia la richiesta.

country

Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su. -

excludedRules

Utilizzato solo per le regole dei gruppi di regole. L'elenco di regole nel gruppo di regole che sono state escluse. L'azione per queste regole è impostata suCount.

Se sostituisci una regola per contarla utilizzando l'opzione di azione sostituisci la regola, le corrispondenze non vengono elencate qui. Sono elencate come coppie action di azioni e. overriddenAction

exclusionType: Un tipo che indica che la regola esclusa ha l'azione. Count
ruleId: L'ID della regola all'interno del gruppo di regole che è esclusa.

Tipo di formato

Tipo di formato per il log.

headers

Elenco intestazioni.

httpMethod

Metodo HTTP nella richiesta.

httpRequest

Metadati sulla richiesta.

httpSourceId

L'ID della risorsa associata:

Per una CloudFront distribuzione Amazon, l'ID è il seguente distribution-id nella sintassi ARN:

arn:partitioncloudfront::account-id:distribution/distribution-id
Per un Application Load Balancer, l'ID è il seguente load-balancer-id nella sintassi ARN:

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Per un'API REST di Amazon API Gateway, l'ID è il api-id seguente nella sintassi ARN:

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Per un'API AWS AppSync GraphQL, l'ID è il seguente GraphQLApiId nella sintassi ARN:

arn:partition:appsync:region:account-id:apis/GraphQLApiId
Per un pool di utenti di Amazon Cognito, l'ID è il seguente user-pool-id nella sintassi ARN:

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Per un AWS App Runner servizio, l'ID è il seguente apprunner-service-id nella sintassi ARN:

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

Origine della richiesta. Valori possibili: CF per Amazon CloudFront, APIGW per Amazon API Gateway, ALB per Application Load Balancer, APPSYNC per Amazon Cognito AWS AppSyncAPPRUNNER, COGNITOIDP per App Runner e per Verified Access. VERIFIED_ACCESS

httpVersion

Versione HTTP.

Impronta digitale JA3

L'impronta digitale JA3 della richiesta.

Nota

L'ispezione delle impronte digitali JA3 è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L'impronta digitale JA3 è un hash di 32 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza di impronte digitali JA3 nelle tue regole ACL web. Per informazioni sulla creazione di una corrispondenza con l'impronta digitale JA3, vedi Impronta digitale JA3 nella dichiarazione per una regola. Richiedi le opzioni dei componenti

labels

Le etichette sulla richiesta web. Queste etichette sono state applicate in base a regole utilizzate per valutare la richiesta. AWS WAF registra le prime 100 etichette.

nonTerminatingMatchingRegole

L'elenco delle regole non terminative che corrispondono alla richiesta. Ogni elemento dell'elenco contiene le seguenti informazioni.

action: L'azione AWS WAF applicata alla richiesta. Indica il conteggio, il CAPTCHA o la sfida. Gli CAPTCHA e Challenge non terminano quando la richiesta web contiene un token valido.
ruleId: L'ID della regola che corrispondeva alla richiesta e non terminava.
ruleMatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

Le eventuali informazioni aggiuntive fornite per ciascuna regola variano in base a fattori quali la configurazione della regola, il tipo di corrispondenza delle regole e i dettagli della corrispondenza. Ad esempio, per le regole con un'Challengeazione CAPTCHA o, challengeResponse verrà elencato l'captchaResponseo. Se la regola corrispondente fa parte di un gruppo di regole e hai sovrascritto l'azione della regola configurata, l'azione configurata verrà fornita in. overriddenAction

Campi sovradimensionati

L'elenco dei campi della richiesta Web che sono stati controllati dall'ACL Web e che superano il limite di ispezione. AWS WAF Se un campo è sovradimensionato ma l'ACL web non lo ispeziona, non verrà elencato qui.

Questo elenco può contenere zero o più dei seguenti valori:REQUEST_BODY,REQUEST_JSON_BODY, REQUEST_HEADERS e. REQUEST_COOKIES Per ulteriori informazioni sui campi sovradimensionati, vedereGestione di componenti di richiesta sovradimensionati in AWS WAF.

rateBasedRuleElenco

Elenco dei gruppi di regole basate su tariffa che hanno operato su questa richiesta. Per informazioni sulle regole basate sulle tariffe, vedere. Istruzione regola basata sulla frequenza

rateBasedRuleId: ID della regola basata sulla frequenza che ha operato su questa richiesta. Se ciò ha terminato la richiesta, l'ID di rateBasedRuleId è uguale all'ID di terminatingRuleId.
rateBasedRuleNome: Il nome della regola basata sulla tariffa che ha funzionato sulla richiesta.
limitKey: Il tipo di aggregazione utilizzato dalla regola. I valori possibili sono IP per l'origine della richiesta Web, FORWARDED_IP per un IP inoltrato in un'intestazione della richiesta, CUSTOMKEYS per le impostazioni di chiave aggregate personalizzate e CONSTANT per contare tutte le richieste insieme, senza aggregazione.
Valore limite: Utilizzato solo per limitare la velocità in base a un singolo tipo di indirizzo IP. Se una richiesta contiene un indirizzo IP non valido, lo limitvalue èINVALID.
maxRateAllowed: Il numero massimo di richieste consentite nella finestra temporale specificata per una specifica istanza di aggregazione. L'istanza di aggregazione è definita dalla limitKey somma di eventuali specifiche chiave aggiuntive fornite nella configurazione delle regole basate sulla frequenza.
evaluationWindowSec: La quantità di tempo AWS WAF inclusa nella richiesta conta, in secondi.
Valori personalizzati: Valori univoci identificati dalla regola basata sulla tariffa nella richiesta. Per i valori di stringa, i registri stampano i primi 32 caratteri del valore della stringa. A seconda del tipo di chiave, questi valori potrebbero essere solo per una chiave, ad esempio per il metodo HTTP o la stringa di query, oppure potrebbero riguardare una chiave e un nome, ad esempio per l'intestazione e il nome dell'intestazione.

requestHeadersInserted

L'elenco delle intestazioni inserite per la gestione personalizzata delle richieste.

requestId

ID della richiesta, generato dal servizio host sottostante. Per Application Load Balancer, questo è l'ID di traccia. Per tutti gli altri, questo è l'ID della richiesta.

responseCodeSent

Il codice di risposta inviato con una risposta personalizzata.

ruleGroupId

ID del gruppo di regole. Se la regola ha bloccato la richiesta, l'ID per ruleGroupID è uguale all'ID per terminatingRuleId.

ruleGroupList

L'elenco dei gruppi di regole che hanno risposto a questa richiesta, con informazioni sulla corrispondenza.

terminatingRule

La regola che ha terminato la richiesta. Se è presente, contiene le seguenti informazioni.

action: L'azione conclusiva AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.
ruleId: L'ID della regola che corrisponde alla richiesta.
ruleMatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminatingRuleId

ID della regola che ha terminato la richiesta. Se non viene terminata la richiesta, il valore è Default_Action.

terminatingRuleMatchDettagli

Informazioni dettagliate sulla regola di terminazione corrispondente alla richiesta. Una regola di terminazione ha un'azione che termina il processo di ispezione di una richiesta Web. Le azioni possibili per una regola di terminazione includonoAllow, BlockCAPTCHA, eChallenge. Durante l'ispezione di una richiesta Web, alla prima regola che corrisponde alla richiesta e che prevede un'azione di terminazione, AWS WAF interrompe l'ispezione e applica l'azione. La richiesta web potrebbe contenere altre minacce, oltre a quella riportata nel registro per la regola di terminazione corrispondente.

Questo viene popolato solo per le istruzioni delle regole di corrispondenza SQL injection e Cross-site scripting (XSS). La regola di abbinamento potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminatingRuleType

Tipo della regola che ha terminato la richiesta. Valori possibili: RATE_BASED, REGULAR, GROUP e MANAGED_RULE_GROUP.

timestamp

Time Stamp in millisecondi.

uri

URI della richiesta.

webaclId

GUID dell'ACL Web.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione della registrazione ACL Web

Esempi di log