ログフィールド
次のリストは、可能なログフィールドについて説明しています。
- action
リクエストに適用されたアクション。Allow および Block は終了ルールアクションです。Count は非終了ルールアクションです。CAPTCHA および Challenge はリクエストに有効なトークンが含まれている場合は非終了型であり、含まれていない場合は終了型です。
- args
-
クエリ文字列。
- captchaResponse
-
CAPTCHA アクションによってウェブリクエスト検査が終了したときに入力されるリクエストへの CAPTCHA 応答。リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。このフィールドには、レスポンスコードと失敗の理由が含まれます。
- チャレンジレスポンス
-
Challenge アクションによってウェブリクエスト検査が終了したときに入力されるリクエストへのチャレンジ応答。リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。このフィールドには、レスポンスコードと失敗の理由が含まれます。
- clientIp
-
リクエストを送信するクライアントの IP アドレス。
- country
-
リクエストの送信国。AWS WAF が発信元の国を特定できない場合は、このフィールドを [
-] に設定します。 - excludedRules
-
ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。
オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア
actionおよびoverriddenActionとして一覧表示されています。- exclusionType
-
除外されたルールにアクション Count があることを示すタイプ。
- ruleId
-
除外されたルールグループ内のルールの ID。
- formatVersion
-
ログの形式バージョン。
- headers
-
ヘッダーの一覧。
- httpMethod
-
リクエストの HTTP メソッド。
- httpRequest
-
リクエストに関するメタデータです。
- httpSourceId
-
ソース ID。このフィールドには、関連付けられたリソースの ID が表示されます。
- httpSourceName
-
リクエストの送信元。可能な値:
CF(Amazon CloudFront)、APIGW(Amazon API Gateway)、ALB(Application Load Balancer)、およびAPPSYNC(AWS AppSync)。 - httpVersion
-
HTTP のバージョン。
- ラベル
-
ウェブリクエストのラベル。これらのラベルは、リクエストの評価に使用されたルールによって適用されました。AWS WAF は、最初の 100 個のラベルをログに記録します。
- limitKey
-
レートベースのルールによるレート制限に関するリクエストを集約するために AWS WAF が使用する必要がある IP アドレスソースを示します。可能な値は、
IP(ウェブリクエストのオリジンの場合)、およびFORWARDED_IP(リクエストのヘッダーで転送された IP の場合) です。 - limitValue
-
レート制限用にリクエストを集約するためにレートベースのルールで使用される IP アドレス。リクエストに有効ではない IP アドレスが含まれている場合、
limitvalueはINVALIDです。 - maxRateAllowed
-
5 分間に許可される
limitKeyで指定されたフィールドに同じ値を持つ、リクエストの最大数。リクエストの数がmaxRateAllowedを超え、このルールで指定されるほかの述語が一致した場合、AWS WAF はこのルールで指定されるアクションをトリガーします。 - nonTerminatingMatchingRules
-
リクエストに一致する非終了ルールのリスト。
- action
-
AWS WAF がリクエストに適用したアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。
- overriddenAction
-
ウェブ ACL にルールアクションのオーバーライドが設定されているルールグループのルールにのみ使用されます。これはルールグループのルールが設定されているアクションであり、リクエストに適用されたアクションではありません。AWS WAF が適用したアクションは
action値です。 - ruleId
-
リクエストに一致し、非終了ルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
- oversizeFields
-
ウェブ ACL によって検査され、AWS WAF 検査限界を超えるウェブリクエスト内のフィールドを一覧表示します。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。
このリストには、
REQUEST_BODY、REQUEST_JSON_BODY、REQUEST_HEADERS、およびREQUEST_COOKIESの値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「リクエストボディ、ヘッダー、cookie の検査」を参照してください。 - rateBasedRuleId
-
このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、
rateBasedRuleIdの ID は、terminatingRuleIdの ID と同じです。 - rateBasedRuleList
-
このリクエストで動作したレートベースのルールのリスト。
- rateBasedRuleName
-
このリクエストで動作したレートベースのルールの名前。
- requestHeadersInserted
-
カスタムリクエストの処理用に挿入されるヘッダーのリスト。
- requestId
-
基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。
- responseCodeSent
-
カスタムレスポンスで送信されるレスポンスコード。
- ruleGroupId
-
ルールグループの ID ルールがリクエストをブロックした場合、
ruleGroupIDの ID は、terminatingRuleIdの ID と同じです。 - ruleGroupList
-
このリクエストに対して動作したルールグループのリスト (一致情報を含む)。
- terminatingRule
-
リクエストを終了したルール。これが Null 以外の値である場合、次の追加フィールドが含まれます。
- action
-
AWS WAF がリクエストに適用したアクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。
- overriddenAction
-
ウェブ ACL にルールアクションのオーバーライドが設定されているルールグループのルールにのみ使用されます。これはルールグループのルールが設定されているアクションであり、リクエストに適用されたアクションではありません。AWS WAF が適用したアクションは
action値です。 - ruleId
-
リクエストに一致したルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
- terminatingRuleId
-
リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は
Default_Actionとなります。 - terminatingRuleMatchDetails
-
リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中に、リクエストに一致し、終了アクションを持つ最初のルールで、AWS WAF は検査を停止し、アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。
これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
- terminatingRuleType
-
リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。
- timestamp
-
タイムスタンプ (ミリ秒単位)。
- uri
-
リクエストの URI。
- webaclId
-
ウェブ ACL の GUID。
