ログフィールド - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ログフィールド

次のリストは、可能なログフィールドについて説明しています。

action

リクエストに適用されたアクション。Allow および Block は終了ルールアクションです。Count は非終了ルールアクションです。CAPTCHA および Challenge はリクエストに有効なトークンが含まれている場合は非終了型であり、含まれていない場合は終了型です。

args

クエリ文字列。

captchaResponse

CAPTCHA アクションによってウェブリクエスト検査が終了したときに入力されるリクエストへの CAPTCHA 応答。リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。このフィールドには、レスポンスコードと失敗の理由が含まれます。

チャレンジレスポンス

Challenge アクションによってウェブリクエスト検査が終了したときに入力されるリクエストへのチャレンジ応答。リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。このフィールドには、レスポンスコードと失敗の理由が含まれます。

clientIp

リクエストを送信するクライアントの IP アドレス。

country

リクエストの送信国。AWS WAF が発信元の国を特定できない場合は、このフィールドを [-] に設定します。

excludedRules

ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。

オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア action および overriddenAction として一覧表示されています。

exclusionType

除外されたルールにアクション Count があることを示すタイプ。

ruleId

除外されたルールグループ内のルールの ID。

formatVersion

ログの形式バージョン。

headers

ヘッダーの一覧。

httpMethod

リクエストの HTTP メソッド。

httpRequest

リクエストに関するメタデータです。

httpSourceId

ソース ID。このフィールドには、関連付けられたリソースの ID が表示されます。

httpSourceName

リクエストの送信元。可能な値: CF (Amazon CloudFront)、APIGW (Amazon API Gateway)、ALB (Application Load Balancer)、および APPSYNC (AWS AppSync)。

httpVersion

HTTP のバージョン。

ラベル

ウェブリクエストのラベル。これらのラベルは、リクエストの評価に使用されたルールによって適用されました。AWS WAF は、最初の 100 個のラベルをログに記録します。

limitKey

レートベースのルールによるレート制限に関するリクエストを集約するために AWS WAF が使用する必要がある IP アドレスソースを示します。可能な値は、IP (ウェブリクエストのオリジンの場合)、および FORWARDED_IP (リクエストのヘッダーで転送された IP の場合) です。

limitValue

レート制限用にリクエストを集約するためにレートベースのルールで使用される IP アドレス。リクエストに有効ではない IP アドレスが含まれている場合、limitvalueINVALID です。

maxRateAllowed

5 分間に許可される limitKey で指定されたフィールドに同じ値を持つ、リクエストの最大数。リクエストの数が maxRateAllowed を超え、このルールで指定されるほかの述語が一致した場合、AWS WAF はこのルールで指定されるアクションをトリガーします。

nonTerminatingMatchingRules

リクエストに一致する非終了ルールのリスト。

action

AWS WAF がリクエストに適用したアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。

overriddenAction

ウェブ ACL にルールアクションのオーバーライドが設定されているルールグループのルールにのみ使用されます。これはルールグループのルールが設定されているアクションであり、リクエストに適用されたアクションではありません。AWS WAF が適用したアクションは action 値です。

ruleId

リクエストに一致し、非終了ルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

oversizeFields

ウェブ ACL によって検査され、AWS WAF 検査限界を超えるウェブリクエスト内のフィールドを一覧表示します。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。

このリストには、REQUEST_BODYREQUEST_JSON_BODYREQUEST_HEADERS、および REQUEST_COOKIES の値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「リクエストボディ、ヘッダー、cookie の検査」を参照してください。

rateBasedRuleId

このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、rateBasedRuleId の ID は、terminatingRuleId の ID と同じです。

rateBasedRuleList

このリクエストで動作したレートベースのルールのリスト。

rateBasedRuleName

このリクエストで動作したレートベースのルールの名前。

requestHeadersInserted

カスタムリクエストの処理用に挿入されるヘッダーのリスト。

requestId

基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。

responseCodeSent

カスタムレスポンスで送信されるレスポンスコード。

ruleGroupId

ルールグループの ID ルールがリクエストをブロックした場合、ruleGroupID の ID は、terminatingRuleId の ID と同じです。

ruleGroupList

このリクエストに対して動作したルールグループのリスト (一致情報を含む)。

terminatingRule

リクエストを終了したルール。これが Null 以外の値である場合、次の追加フィールドが含まれます。

action

AWS WAF がリクエストに適用したアクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。

overriddenAction

ウェブ ACL にルールアクションのオーバーライドが設定されているルールグループのルールにのみ使用されます。これはルールグループのルールが設定されているアクションであり、リクエストに適用されたアクションではありません。AWS WAF が適用したアクションは action 値です。

ruleId

リクエストに一致したルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

terminatingRuleId

リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は Default_Action となります。

terminatingRuleMatchDetails

リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中に、リクエストに一致し、終了アクションを持つ最初のルールで、AWS WAF は検査を停止し、アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。

これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

terminatingRuleType

リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。

timestamp

タイムスタンプ (ミリ秒単位)。

uri

リクエストの URI。

webaclId

ウェブ ACL の GUID。