ログフィールド - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ログフィールド

次のリストは、可能なログフィールドについて説明しています。

アクション

リクエスト AWS WAF に適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。

args

クエリ文字列。

captchaResponse

アクションがリクエストに適用されたときに入力される、リクエストの CAPTCHA CAPTCHAアクションステータス。このフィールドは、終了中か非終了かにかかわらず、すべてのCAPTCHAアクションに対して入力されます。リクエストにCAPTCHAアクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。

リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。CAPTCHA アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でないfailureReason属性をフィルタリングします。

challengeResponse

アクションがリクエストに適用されたときに入力される、リクエストのチャレンジChallengeアクションステータス。このフィールドは、終了中か非終了かにかかわらず、すべてのChallengeアクションに対して入力されます。リクエストにChallengeアクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。

リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。Challenge アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でないfailureReason属性をフィルタリングします。

clientIp

リクエストを送信するクライアントの IP アドレス。

country

リクエストの送信国。 AWS WAF が発信元の国を特定できない場合、このフィールドは に設定されます-

excludedRules

ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。

オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア action および overriddenAction として一覧表示されています。

exclusionType

除外されたルールにアクション Count があることを示すタイプ。

ruleId

除外されたルールグループ内のルールの ID。

formatVersion

ログの形式バージョン。

headers

ヘッダーの一覧。

httpMethod

リクエストの HTTP メソッド。

httpRequest

リクエストに関するメタデータです。

httpSourceId

関連付けられたリソースの ID。

  • Amazon CloudFront ディストリビューションの場合、ID は ARN 構文distribution-idの です。

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Application Load Balancer の場合、ID は ARN 構文で load-balancer-id です。

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Amazon API Gateway REST API の場合、ID は ARN 構文で api-id です。

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • AWS AppSync GraphQL API の場合、ID は ARN 構文GraphQLApiIdの です。

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Amazon Cognito ユーザープールの場合、ID は ARN 構文で user-pool-id です。

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • AWS App Runner サービスの場合、ID は ARN 構文apprunner-service-idの です。

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

リクエストの送信元。指定できる値: Amazon CFの場合は 、 CloudFrontAPIGWAmazon API Gateway ALBの場合は 、Application Load Balancer APPSYNCの場合は AWS AppSync、Amazon Cognito COGNITOIDPの場合は 、App Runner APPRUNNERの場合は 、Verified Access VERIFIED_ACCESSの場合は 。 Amazon API Gateway Amazon Cognito

httpVersion

HTTP のバージョン。

ja3Fingerprint

リクエストの JA3 フィンガープリント。

注記

JA3 フィンガープリント検査は、Amazon CloudFront ディストリビューションと Application Load Balancer でのみ使用できます。

JA3 フィンガープリントは、受信リクエストの TLS Client Hello から生成される 32 文字のハッシュです。このフィンガープリントは、クライアントの TLS 設定の一意の識別子として機能します。 AWS WAF は、計算に十分な TLS Client Hello 情報を持つ各リクエストについて、このフィンガープリントを計算してログに記録します。

この値は、ウェブ ACL ルールで JA3 フィンガープリントの一致を設定するときに指定します。JA3 フィンガープリントとの一致を作成する方法については、「リクエストコンポーネントオプション」の「JA3 フィンガープリント」に記載されているルールステートメントを参照してください。

ラベル

ウェブリクエストのラベル。これらのラベルは、最初の 100 個のラベルの request. AWS WAF logs の評価に使用されたルールによって適用されました。

nonTerminatingMatchingルール

リクエストに一致した非終了ルールのリスト。リスト内の各項目には、次の情報が含まれています。

アクション

リクエスト AWS WAF に適用されたアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。

ruleId

リクエストに一致し、非終了ルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 CAPTCHAまたは Challengeアクションを持つルールの場合、 captchaResponseまたは が一覧表示challengeResponseされます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction

oversizeFields

ウェブ ACL によって検査され、 AWS WAF 検査制限を超えているウェブリクエスト内のフィールドのリスト。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。

このリストには、REQUEST_BODYREQUEST_JSON_BODYREQUEST_HEADERS、および REQUEST_COOKIES の値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「でのオーバーサイズリクエストコンポーネントの処理 AWS WAF」を参照してください。

rateBasedRuleリスト

このリクエストで動作したレートベースのルールのリスト。レートベースルールの詳細については、「レートベースのルールステートメント」を参照してください。

rateBasedRuleID

このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、rateBasedRuleId の ID は、terminatingRuleId の ID と同じです。

rateBasedRule名前

このリクエストで動作したレートベースのルールの名前。

limitKey

ルールが使用している集約のタイプ。指定できる値は、ウェブリクエストの発信元用の IP、リクエストのヘッダーで転送された IP 用の FORWARDED_IP、カスタム集約キー設定用の CUSTOMKEYS、および集約なしですべてのリクエストをまとめてカウントする用の CONSTANT です。

limitValue

単一の IP アドレスタイプでレート制限を行う場合にのみ使用される。リクエストに有効ではない IP アドレスが含まれている場合、limitvalueINVALID です。

maxRateAllowed

特定の集約インスタンスに対して指定された時間枠で許可されるリクエストの最大数。集約インスタンスは、 limitKeyに加えて、レートベースのルール設定で指定した追加のキー仕様によって定義されます。

evaluationWindowSec

がリクエストに AWS WAF 含めた時間を秒単位でカウントします。

customValues

リクエスト内のレートベースのルールによって識別される一意の値。文字列値の場合、ログは文字列値の最初の 32 文字を出力します。キータイプに応じて、これらの値は HTTP メソッドやクエリ文字列といったキーだけの場合もあれば、ヘッダーやヘッダー名のようなキーと名前の場合もあります。

requestHeadersInserted

カスタムリクエストの処理用に挿入されるヘッダーのリスト。

requestId

基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。

responseCodeSent

カスタムレスポンスで送信されるレスポンスコード。

ruleGroupId

ルールグループの ID ルールがリクエストをブロックした場合、ruleGroupID の ID は、terminatingRuleId の ID と同じです。

ruleGroupList

このリクエストに対して動作したルールグループのリスト (一致情報を含む)。

terminatingRule

リクエストを終了したルール。これが存在する場合は、次の情報が含まれます。

アクション

リクエスト AWS WAF に適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。

ruleId

リクエストに一致したルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 CAPTCHAまたは Challengeアクションを持つルールの場合、 captchaResponseまたは が一覧表示challengeResponseされます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction

terminatingRuleId

リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は Default_Action となります。

terminatingRuleMatch詳細

リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中に、リクエストに一致し、終了アクションがある最初のルールで、 は検査 AWS WAF を停止し、アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。

これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

terminatingRuleType

リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。

timestamp

タイムスタンプ (ミリ秒単位)。

uri

リクエストの URI。

webaclId

ウェブ ACL の GUID。