ログフィールド - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ログフィールド

次のリストは、可能なログフィールドについて説明しています。

アクション

AWS WAF リクエストに適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。

args

クエリ文字列。

captchaResponse

リクエストの CAPTCHA アクションステータス。CAPTCHAリクエストにアクションが適用されたときに入力されます。このフィールドは、終了中か非終了かを問わず、CAPTCHAすべてのアクションに対して入力されます。CAPTCHAリクエストにアクションが複数回適用されている場合、このフィールドにはアクションが最後に適用されたときからデータが入力されます。

リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、CAPTCHA アクションはウェブリクエストの検査を終了します。CAPTCHAアクションが終了する場合、このフィールドにはレスポンスコードと失敗理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するために、このフィールドで空でない属性をフィルタリングできます。failureReason

challengeResponse

リクエストのチャレンジアクションステータス。Challengeリクエストにアクションが適用されたときに入力されます。このフィールドは、終了中か非終了かを問わず、Challengeすべてのアクションに対して入力されます。Challengeリクエストにアクションが複数回適用されている場合、このフィールドにはアクションが最後に適用されたときからデータが入力されます。

リクエストにトークンが含まれていない、あるいはトークンが無効または有効期限切れているとき、Challenge アクションはウェブリクエストの検査を終了します。Challengeアクションが終了する場合、このフィールドにはレスポンスコードと失敗理由が含まれます。アクションが終了していない場合、このフィールドには解決タイムスタンプが含まれます。終了アクションと非終了アクションを区別するために、このフィールドで空でない属性をフィルタリングできます。failureReason

clientIp

リクエストを送信するクライアントの IP アドレス。

country

リクエストの送信国。原産国を特定できない場合は、 AWS WAF このフィールドをに設定します。-

excludedRules

ルールグループのルールにのみ使用されます。除外されているルールグループ内のルールのリスト。これらのルールのアクションは Count に設定されています。

オーバーライドルールアクションのオプションを使用してルールがカウントするようにオーバーライドする場合、一致するものはここには一覧表示されません。アクションペア action および overriddenAction として一覧表示されています。

exclusionType

除外されたルールにアクション Count があることを示すタイプ。

ruleId

除外されたルールグループ内のルールの ID。

formatVersion

ログの形式バージョン。

headers

ヘッダーの一覧。

httpMethod

リクエストの HTTP メソッド。

httpRequest

リクエストに関するメタデータです。

httpSourceId

関連付けられたリソースの ID。

  • Amazon CloudFront ディストリビューションの場合、ID は ARN distribution-id 構文のとおりです。

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Application Load Balancer の場合、ID は ARN 構文で load-balancer-id です。

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Amazon API Gateway REST API の場合、ID は ARN 構文で api-id です。

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • AWS AppSync GraphQL API の場合、ID は ARN GraphQLApiId 構文のとおりです。

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Amazon Cognito ユーザープールの場合、ID は ARN 構文で user-pool-id です。

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • AWS App Runner サービスの場合、ID は ARN apprunner-service-id 構文のとおりです。

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

リクエストの送信元。設定可能な値:CFAmazon CloudFront、APIGW Amazon API Gateway ALB 用、Application Load Balancer APPSYNC COGNITOIDP 用 AWS AppSync、Amazon Cognito APPRUNNER 用、アプリケーションランナー用、VERIFIED_ACCESS検証済みアクセス用。

httpVersion

HTTP のバージョン。

ja3Fingerprint

リクエストの JA3 フィンガープリント。JA3 フィンガープリントは、受信リクエストの TLS Client Hello から生成される 32 文字のハッシュです。このフィンガープリントは、クライアントの TLS 設定の一意の識別子として機能します。 AWS WAF 計算に十分な TLS Client Hello 情報を含むリクエストごとに、このフィンガープリントを計算して記録します。

この値は、ウェブ ACL ルールで JA3 フィンガープリントの一致を設定するときに指定します。JA3 フィンガープリントとの一致を作成する方法については、「リクエストコンポーネントオプション」の「JA3 フィンガープリント」に記載されているルールステートメントを参照してください。

ラベル

ウェブリクエストのラベル。これらのラベルは、リクエストの評価に使用されたルールによって適用されました。 AWS WAF 最初の 100 個のラベルを記録します。

nonTerminatingMatchingルール

リクエストにマッチした非終了ルールのリスト。リスト内の各項目には、以下の情報が含まれています。

アクション

AWS WAF リクエストに適用されたアクション。カウント、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていると、CAPTCHA および Challenge は終了処理しません。

ruleId

リクエストに一致し、非終了ルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルールマッチタイプ、マッチの詳細などの要因によって異なります。たとえば、CAPTCHA or Challenge アクションを含むルールの場合、captchaResponsechallengeResponseまたはが一覧表示されます。一致するルールがルールグループに含まれていて、設定済みのルールアクションをオーバーライドした場合、設定済みのアクションがに追加されます。overriddenAction

oversizeFields

ウェブ ACL によって検査され、 AWS WAF インスペクション制限を超えているウェブリクエストのフィールドのリスト。フィールドがオーバーサイズであっても、ウェブ ACL が検査しない場合、ここには表示されません。

このリストには、REQUEST_BODYREQUEST_JSON_BODYREQUEST_HEADERS、および REQUEST_COOKIES の値が何個か含まれることも、含まれないこともあります。オーバーサイズフィールドの詳細については、「での大きすぎるウェブリクエストコンポーネントの処理 AWS WAF」を参照してください。

rateBasedRuleリスト

このリクエストで動作したレートベースのルールのリスト。レートベースルールの詳細については、「レートベースのルールステートメント」を参照してください。

rateBasedRuleID

このリクエストで動作したレートベースのルールの ID。これがリクエストを終了した場合、rateBasedRuleId の ID は、terminatingRuleId の ID と同じです。

rateBasedRule[名前]

このリクエストで動作したレートベースのルールの名前。

limitKey

ルールが使用している集約のタイプ。指定できる値は、ウェブリクエストの発信元用の IP、リクエストのヘッダーで転送された IP 用の FORWARDED_IP、カスタム集約キー設定用の CUSTOMKEYS、および集約なしですべてのリクエストをまとめてカウントする用の CONSTANT です。

limitValue

単一の IP アドレスタイプでレート制限を行う場合にのみ使用される。リクエストに有効ではない IP アドレスが含まれている場合、limitvalueINVALID です。

maxRateAllowed

特定のアグリゲーションインスタンスについて、指定した時間枠で許可されるリクエストの最大数。アグリゲーションインスタンスは、limitKeyレートベースのルール設定で指定した追加のキー仕様を加えたものによって定義されます。

evaluationWindowSec

AWS WAF リクエストに含まれる時間 (秒単位)。

customValues

リクエスト内のレートベースのルールによって識別される一意の値。文字列値の場合、ログは文字列値の最初の 32 文字を出力します。キータイプに応じて、これらの値は HTTP メソッドやクエリ文字列といったキーだけの場合もあれば、ヘッダーやヘッダー名のようなキーと名前の場合もあります。

requestHeadersInserted

カスタムリクエストの処理用に挿入されるヘッダーのリスト。

requestId

基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer では、これはトレース ID です。その他すべての場合、これはリクエスト ID です。

responseCodeSent

カスタムレスポンスで送信されるレスポンスコード。

ruleGroupId

ルールグループの ID ルールがリクエストをブロックした場合、ruleGroupID の ID は、terminatingRuleId の ID と同じです。

ruleGroupList

このリクエストに対して動作したルールグループのリスト (一致情報を含む)。

terminatingRule

リクエストを終了したルール。この値が存在する場合、次の情報が含まれます。

アクション

AWS WAF リクエストに適用された終了アクション。これは許可、ブロック、CAPTCHA、チャレンジのいずれかを示します。ウェブリクエストに有効なトークンが含まれていないとき、CAPTCHA および Challenge アクションは終了します。

ruleId

リクエストに一致したルールの ID。

ruleMatchDetails

リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

各ルールについて提供される追加情報は、ルール設定、ルールマッチタイプ、マッチの詳細などの要因によって異なります。たとえば、CAPTCHA or Challenge アクションを含むルールの場合、captchaResponsechallengeResponseまたはが一覧表示されます。一致するルールがルールグループに含まれていて、設定済みのルールアクションをオーバーライドした場合、設定済みのアクションがに追加されます。overriddenAction

terminatingRuleId

リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は Default_Action となります。

terminatingRuleMatch詳細

リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。終了ルールに可能なアクションには、Allow、Block、CAPTCHA、Challenge が含まれます。ウェブリクエストの検査中、リクエストに一致し、終了アクションが設定されている最初のルールで、 AWS WAF インスペクションを停止してアクションを適用します。ウェブリクエストには、一致する終了ルールのログで報告された脅威に加えて、他の脅威が含まれている可能性があります。

これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。一致ルールでは、複数の検査基準の一致が必要になる場合があるため、これらの一致の詳細は、一致基準の配列として提供されます。

terminatingRuleType

リクエストを終了したルールのタイプ。可能な値: RATE_BASED、REGULAR、GROUP、MANAGED_RULE_GROUP。

timestamp

タイムスタンプ (ミリ秒単位)。

uri

リクエストの URI。

webaclId

ウェブ ACL の GUID。