翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ログフィールド
次のリストは、可能なログフィールドについて説明しています。
- アクション
-
リクエスト AWS WAF に適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。
- args
-
クエリ文字列。
- captchaResponse
-
アクションがリクエストに適用されたときに入力される、リクエストの CAPTCHA CAPTCHAアクションステータス。このフィールドは、終了中か非終了かにかかわらず、すべてのCAPTCHAアクションに対して入力されます。リクエストにCAPTCHAアクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。
リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。CAPTCHA アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でない
failureReason
属性をフィルタリングします。 - challengeResponse
-
アクションがリクエストに適用されたときに入力される、リクエストのチャレンジChallengeアクションステータス。このフィールドは、終了中か非終了かにかかわらず、すべてのChallengeアクションに対して入力されます。リクエストにChallengeアクションが複数回適用されている場合、このフィールドはアクションが最後に適用された時点から入力されます。
リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。Challenge アクションが終了している場合、このフィールドにはレスポンスコードと失敗の理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するには、このフィールドで空でない
failureReason
属性をフィルタリングします。 - clientIp
-
リクエストを送信するクライアントの IP アドレス。
- country
-
リクエストの送信国。 AWS WAF が発信元の国を特定できない場合、このフィールドは に設定されます
-
。 - excludedRules
-
ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。
オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア
action
およびoverriddenAction
として一覧表示されています。- exclusionType
-
除外されたルールにアクション Count があることを示すタイプ。
- ruleId
-
除外されたルールグループ内のルールの ID。
- formatVersion
-
ログの形式バージョン。
- headers
-
ヘッダーの一覧。
- httpMethod
-
リクエストの HTTP メソッド。
- httpRequest
-
リクエストに関するメタデータです。
- httpSourceId
-
関連付けられたリソースの ID。
Amazon CloudFront ディストリビューションの場合、ID は ARN 構文
distribution-id
の です。arn:partitioncloudfront::account-id:distribution/distribution-id
-
Application Load Balancer の場合、ID は ARN 構文で
load-balancer-id
です。arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Amazon API Gateway REST API の場合、ID は ARN 構文で
api-id
です。arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
AWS AppSync GraphQL API の場合、ID は ARN 構文
GraphQLApiId
の です。arn:partition:appsync:region:account-id:apis/GraphQLApiId
Amazon Cognito ユーザープールの場合、ID は ARN 構文で
user-pool-id
です。arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
AWS App Runner サービスの場合、ID は ARN 構文
apprunner-service-id
の です。arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
リクエストの送信元。指定できる値: Amazon
CF
の場合は 、 CloudFrontAPIGW
Amazon API GatewayALB
の場合は 、Application Load BalancerAPPSYNC
の場合は AWS AppSync、Amazon CognitoCOGNITOIDP
の場合は 、App RunnerAPPRUNNER
の場合は 、Verified AccessVERIFIED_ACCESS
の場合は 。 Amazon API Gateway Amazon Cognito - httpVersion
-
HTTP のバージョン。
- ja3Fingerprint
-
リクエストの JA3 フィンガープリント。
注記
JA3 フィンガープリント検査は、Amazon CloudFront ディストリビューションと Application Load Balancer でのみ使用できます。
JA3 フィンガープリントは、受信リクエストの TLS Client Hello から生成される 32 文字のハッシュです。このフィンガープリントは、クライアントの TLS 設定の一意の識別子として機能します。 AWS WAF は、計算に十分な TLS Client Hello 情報を持つ各リクエストについて、このフィンガープリントを計算してログに記録します。
この値は、ウェブ ACL ルールで JA3 フィンガープリントの一致を設定するときに指定します。JA3 フィンガープリントとの一致を作成する方法については、「リクエストコンポーネントオプション」の「JA3 フィンガープリント」に記載されているルールステートメントを参照してください。
- ラベル
-
ウェブリクエストのラベル。これらのラベルは、最初の 100 個のラベルの request. AWS WAF logs の評価に使用されたルールによって適用されました。
- nonTerminatingMatchingルール
-
リクエストに一致した非終了ルールのリスト。リスト内の各項目には、次の情報が含まれています。
- アクション
-
リクエスト AWS WAF に適用されたアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。
- ruleId
-
リクエストに一致し、非終了ルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 CAPTCHAまたは Challengeアクションを持つルールの場合、
captchaResponse
または が一覧表示challengeResponse
されます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction
。 - oversizeFields
-
ウェブ ACL によって検査され、 AWS WAF 検査制限を超えているウェブリクエスト内のフィールドのリスト。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。
このリストには、
REQUEST_BODY
、REQUEST_JSON_BODY
、REQUEST_HEADERS
、およびREQUEST_COOKIES
の値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「でのオーバーサイズリクエストコンポーネントの処理 AWS WAF」を参照してください。 - rateBasedRuleリスト
-
このリクエストで動作したレートベースのルールのリスト。レートベースルールの詳細については、「レートベースのルールステートメント」を参照してください。
- rateBasedRuleID
-
このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、
rateBasedRuleId
の ID は、terminatingRuleId
の ID と同じです。 - rateBasedRule名前
-
このリクエストで動作したレートベースのルールの名前。
- limitKey
-
ルールが使用している集約のタイプ。指定できる値は、ウェブリクエストの発信元用の
IP
、リクエストのヘッダーで転送された IP 用のFORWARDED_IP
、カスタム集約キー設定用のCUSTOMKEYS
、および集約なしですべてのリクエストをまとめてカウントする用のCONSTANT
です。 - limitValue
-
単一の IP アドレスタイプでレート制限を行う場合にのみ使用される。リクエストに有効ではない IP アドレスが含まれている場合、
limitvalue
はINVALID
です。 - maxRateAllowed
-
特定の集約インスタンスに対して指定された時間枠で許可されるリクエストの最大数。集約インスタンスは、
limitKey
に加えて、レートベースのルール設定で指定した追加のキー仕様によって定義されます。 - evaluationWindowSec
-
がリクエストに AWS WAF 含めた時間を秒単位でカウントします。
- customValues
-
リクエスト内のレートベースのルールによって識別される一意の値。文字列値の場合、ログは文字列値の最初の 32 文字を出力します。キータイプに応じて、これらの値は HTTP メソッドやクエリ文字列といったキーだけの場合もあれば、ヘッダーやヘッダー名のようなキーと名前の場合もあります。
- requestHeadersInserted
-
カスタムリクエストの処理用に挿入されるヘッダーのリスト。
- requestId
-
基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。
- responseCodeSent
-
カスタムレスポンスで送信されるレスポンスコード。
- ruleGroupId
-
ルールグループの ID ルールがリクエストをブロックした場合、
ruleGroupID
の ID は、terminatingRuleId
の ID と同じです。 - ruleGroupList
-
このリクエストに対して動作したルールグループのリスト (一致情報を含む)。
- terminatingRule
-
リクエストを終了したルール。これが存在する場合は、次の情報が含まれます。
- アクション
-
リクエスト AWS WAF に適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。
- ruleId
-
リクエストに一致したルールの ID。
- ruleMatchDetails
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
各ルールについて提供される追加情報は、ルール設定、ルール一致タイプ、一致の詳細などの要因によって異なります。例えば、 CAPTCHAまたは Challengeアクションを持つルールの場合、
captchaResponse
または が一覧表示challengeResponse
されます。一致するルールがルールグループにあり、設定されたルールアクションを上書きした場合、設定されたアクションは で提供されますoverriddenAction
。 - terminatingRuleId
-
リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は
Default_Action
となります。 - terminatingRuleMatch詳細
-
リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中に、リクエストに一致し、終了アクションがある最初のルールで、 は検査 AWS WAF を停止し、アクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。
これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。
- terminatingRuleType
-
リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。
- timestamp
-
タイムスタンプ (ミリ秒単位)。
- uri
-
リクエストの URI。
- webaclId
-
ウェブ ACL の GUID。