보호 팩(웹 ACL) 트래픽에 대한 로그 필드 - AWS WAF, AWS Firewall ManagerAWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보호 팩(웹 ACL) 트래픽에 대한 로그 필드

다음 목록에서는 가능한 로그 필드에 대해 설명합니다.

작업

요청에 AWS WAF 적용된 종료 작업입니다. 이는 허용, 차단, CAPTCHA 또는 챌린지를 나타냅니다. 웹 요청에 유효한 토큰이 없으면 CAPTCHA 및 Challenge 작업이 종료됩니다.

args

쿼리 문자열.

captchaResponse

요청에 CAPTCHA 작업이 적용될 때 채워지는 요청에 대한 CAPTCHA 작업 상태입니다. 이 필드는 종료든 종료되지 않든 모든 CAPTCHA 작업에 채워집니다. 요청에 CAPTCHA 작업이 여러 번 적용되는 경우 이 필드는 작업이 마지막으로 적용된 시점부터 채워집니다.

요청에 토큰이 포함되지 않은 경우 또는 토큰이 유효하지 않거나 만료된 경우 CAPTCHA 작업에서 웹 요청 검사를 종료합니다. CAPTCHA 작업이 종료되는 경우 이 필드에는 응답 코드와 실패 이유가 포함됩니다. 작업이 종료되지 않는 경우 이 필드에는 해석 타임스탬프가 포함됩니다. 종료 작업과 비종료 작업을 구분하려면 이 필드에서 비어 있지 않은 failureReason 속성을 필터링할 수 있습니다.

cfDistributionTenantId

웹 요청과 연결된 CloudFront 배포 테넌트의 식별자입니다. 이 필드는 선택 사항이며 CloudFront 배포 테넌트와 연결된 보호 팩(웹 ACLs)에만 적용됩니다.

challengeResponse

요청에 Challenge 작업이 적용될 때 채워지는 요청에 대한 챌린지 작업 상태입니다. 이 필드는 종료든 종료되지 않든 모든 Challenge 작업에 채워집니다. 요청에 Challenge 작업이 여러 번 적용되는 경우 이 필드는 작업이 마지막으로 적용된 시점부터 채워집니다.

요청에 토큰이 포함되지 않은 경우 또는 토큰이 유효하지 않거나 만료된 경우 Challenge 작업에서 웹 요청 검사를 종료합니다. Challenge 작업이 종료되는 경우 이 필드에는 응답 코드와 실패 이유가 포함됩니다. 작업이 종료되지 않는 경우 이 필드에는 해석 타임스탬프가 포함됩니다. 종료 작업과 비종료 작업을 구분하려면 이 필드에서 비어 있지 않은 failureReason 속성을 필터링할 수 있습니다.

clientAsn

웹 요청 오리진의 IP 주소와 연결된 자율 시스템 번호(ASN)입니다.

clientIp

클라이언트가 요청을 보내는 IP 주소.

country

요청의 출처 국가. AWS WAF 에서 오리진 국가를 확인할 수 없는 경우이 필드는 로 설정됩니다-.

country

요청의 출처 국가. AWS WAF 에서 오리진 국가를 확인할 수 없는 경우이 필드는 로 설정됩니다-.

excludedRules

규칙 그룹 규칙에만 사용됩니다. 규칙 그룹에서 제외한 규칙의 목록입니다. 이 규칙에 대한 작업은 Count로 설정됩니다.

규칙 재정의 작업 옵션을 사용하여 규칙을 개수로 재정의하는 경우 일치 항목이 여기에 나열되지 않습니다. 이들 항목은 작업 쌍인 actionoverriddenAction으로 나열됩니다.

exclusionType

제외된 규칙에 Count 작업이 있음을 나타내는 유형입니다.

ruleId

규칙 그룹 내에서 제외된 규칙의 ID입니다.

formatVersion

로그의 포맷 버전.

forwardedAsn

웹 요청을 전달한 엔터티의 IP 주소와 연결된 자율 시스템 번호(ASN)입니다.

헤더

헤더 목록.

httpMethod

요청의 HTTP 메서드.

httpRequest

요청에 대한 메타데이터.

httpSourceId

연결된 리소스의 ID입니다.

  • Amazon CloudFront 배포의 경우 ARN 구문에서 ID는 distribution-id입니다.

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Application Load Balancer의 경우 ARN 구문에서 ID는 load-balancer-id입니다.

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Amazon API Gateway REST API의 경우 ARN 구문에서 ID는 api-id입니다.

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • an AWS AppSync GraphQL API의 경우 ID는 ARN 구문GraphQLApiId의 입니다.

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Amazon Cognito 사용자 풀의 경우 ARN 구문의 ID는 user-pool-id입니다.

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • AWS App Runner 서비스의 경우 ID는 ARN 구문apprunner-service-id의 입니다.

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

요청의 소스. 가능한 값: Amazon CloudFrontCF의 경우 , Amazon API GatewayAPIGW의 경우 , ALB Application Load BalancerAPPSYNC의 경우 , Amazon CognitoCOGNITOIDP의 경우 AWS AppSync, App RunnerAPPRUNNER의 경우 , Verified AccessVERIFIED_ACCESS의 경우 .

httpVersion

HTTP 버전.

ja3Fingerprint

요청의 JA3 지문.

참고

JA3 지문 검사는 Amazon CloudFront 배포 및 Application Load Balancer에서만 사용할 수 있습니다.

JA3 자문은 수신 요청의 TLS 클라이언트 Hello에서 파생된 32자 해시입니다. 이 지문은 클라이언트의 TLS 구성에 대한 고유 식별자 역할을 합니다.는 AWS WAF 계산에 충분한 TLS 클라이언트 Hello 정보가 있는 각 요청에 대해이 지문을 계산하고 기록합니다.

보호 팩(웹 ACL) 규칙에서 JA3 지문 일치를 구성할 때이 값을 제공합니다. JA3 지문과의 일치 생성에 대한 자세한 내용은 규칙 문에 대한 에서 구성 요소 요청 AWS WAFJA3 지문 섹션을 참조하세요.

ja4Fingerprint

요청의 JA4 지문입니다.

참고

JA4 지문 검사는 Amazon CloudFront 배포 및 Application Load Balancer에서만 사용할 수 있습니다.

JA4 지문은 수신 요청의 TLS 클라이언트 Hello에서 파생된 36자 해시입니다. 이 지문은 클라이언트의 TLS 구성에 대한 고유 식별자 역할을 합니다.는 AWS WAF 계산에 충분한 TLS 클라이언트 Hello 정보가 있는 각 요청에 대해이 지문을 계산하고 기록합니다.

보호 팩(웹 ACL) 규칙에서 JA4 지문 일치를 구성할 때이 값을 제공합니다. JA4 지문에 대한 일치 생성에 대한 자세한 내용은 JA4 지문의 규칙 문을 참조에서 구성 요소 요청 AWS WAF하세요.

labels

웹 요청의 레이블 이러한 레이블은 request. AWS WAF logs에서 처음 100개의 레이블을 평가하는 데 사용된 규칙에 의해 적용되었습니다.

nonTerminatingMatchingRules

요청과 일치한 비 종료 규칙 목록입니다. 목록의 각 항목에는 다음 정보가 포함되어 있습니다.

작업

요청에 AWS WAF 적용된 작업입니다. 이는 개수, CAPTCHA 또는 챌린지를 나타냅니다. 웹 요청에 유효한 토큰이 포함된 경우 CAPTCHA 및 Challenge가 종료되지 않습니다.

ruleId

요청에 부합되는 비 종료 규칙의 ID.

ruleMatchDetails

요청과 일치하는 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 명령어 삽입 및 크로스 사이트 스크립팅(XSS) 일치 규칙 문에 대해서만 채워집니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

각 규칙에 대해 제공되는 추가 정보는 규칙 구성, 규칙 일치 유형, 일치 세부 정보 등의 요소에 따라 달라집니다. 예를 들어 CAPTCHA 또는 Challenge 작업이 있는 규칙의 경우 captchaResponse 또는 challengeResponse가 나열됩니다. 일치하는 규칙이 규칙 그룹에 있고 구성된 규칙 작업을 재정의한 경우 구성된 작업이 overriddenAction에 제공됩니다.

oversizeFields

보호 팩(웹 ACL)에서 검사하고 AWS WAF 검사 한도를 초과하는 웹 요청의 필드 목록입니다. 필드 크기가 크지만 보호 팩(웹 ACL)이 이를 검사하지 않는 경우 여기에 나열되지 않습니다.

이 목록에는 REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERSREQUEST_COOKIES 값 중 0개 이상이 포함될 수 있습니다. 과대 필드에 대한 자세한 내용은 에서 웹 요청 구성 요소 크기 초과 AWS WAF 섹션을 참조하세요.

rateBasedRuleList

요청에 작용하는 속도 기반 규칙의 목록. 속도 기반 규칙에 대한 자세한 내용은 에서 속도 기반 규칙 문 사용 AWS WAF 섹션을 참조하세요.

rateBasedRuleId

요청에 작용하는 비율 기반 규칙의 ID입니다. 이 규칙이 요청을 종료한 경우 rateBasedRuleId의 ID는 terminatingRuleId의 ID와 동일합니다.

rateBasedRuleName

요청에 작용하는 비율 기반 규칙의 이름입니다.

limitKey

규칙이 사용하는 집계 유형. 사용 가능한 값은 웹 요청 오리진에는 IP, 요청의 헤더에 전달된 IP에는 FORWARDED_IP, 사용자 지정 집계 키 설정에는 CUSTOMKEYS, 그리고 집계 없이 모든 요청 수를 계산하려는 경우 CONSTANT입니다.

리밋-밸류

단일 IP 주소 유형에 의해 속도를 제한할 때만 사용됩니다. 요청에 유효하지 않은 IP 주소가 포함된 경우 limitvalueINVALID입니다.

maxRateAllowed

특정 집계 인스턴스에 대해 지정된 기간 동안 허용되는 최대 요청 수입니다. 집계 인스턴스는 속도 기반 규칙 구성에 제공된 limitKey에 추가 키 사양을 더해 정의됩니다.

evaluationWindowSec

요청에 AWS WAF 포함된 시간은 초 단위로 계산됩니다.

customValues

요청의 속도 기반 규칙에 의해 식별된 고유 값. 문자열 값의 경우 로그는 문자열 값의 처음 32자를 출력합니다. 키 유형에 따라 이러한 값은 HTTP 메서드 또는 쿼리 문자열과 같이 키에만 사용할 수 있는 값일 수도 있고 헤더 및 헤더 이름과 같은 키와 이름에 모두 사용할 수 있는 값일 수도 있습니다.

요청 헤더가 삽입되었습니다.

사용자 지정 요청 처리를 위해 삽입된 헤더 목록.

requestId

기본 호스트 서비스에 의해 생성되는 요청의 ID입니다. Application Load Balancer의 경우 추적 ID입니다. 다른 모든 경우 이것이 요청 ID입니다.

responseCodeSent

사용자 지정 응답과 함께 전송된 응답 코드입니다.

ruleGroupId

규칙 그룹의 ID. 규칙에서 요청을 차단한 경우 ruleGroupID의 ID는 terminatingRuleId의 ID와 동일합니다.

ruleGroupList

일치 정보가 포함된 이 요청에 작용하는 규칙 그룹의 목록.

terminatingRule

요청을 종료한 규칙. 이 정보가 있는 경우 다음 정보가 포함됩니다.

작업

요청에 AWS WAF 적용된 종료 작업입니다. 이는 허용, 차단, CAPTCHA 또는 챌린지를 나타냅니다. 웹 요청에 유효한 토큰이 없으면 CAPTCHA 및 Challenge 작업이 종료됩니다.

ruleId

요청과 일치하는 규칙의 ID입니다.

ruleMatchDetails

요청과 일치하는 규칙에 대한 자세한 정보입니다. 이 필드는 SQL 명령어 삽입 및 크로스 사이트 스크립팅(XSS) 일치 규칙 문에 대해서만 채워집니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

각 규칙에 대해 제공되는 추가 정보는 규칙 구성, 규칙 일치 유형, 일치 세부 정보 등의 요소에 따라 달라집니다. 예를 들어 CAPTCHA 또는 Challenge 작업이 있는 규칙의 경우 captchaResponse 또는 challengeResponse가 나열됩니다. 일치하는 규칙이 규칙 그룹에 있고 구성된 규칙 작업을 재정의한 경우 구성된 작업이 overriddenAction에 제공됩니다.

terminatingRuleId

요청을 종료한 규칙의 ID. 요청을 종료하는 규칙이 없으면 이 값은 Default_Action입니다.

terminatingRuleMatchDetails

요청과 일치하는 종료 규칙에 대한 자세한 정보입니다. 종료 규칙에는 웹 요청에 대한 검사 프로세스를 종료하는 작업이 포함되어 있습니다. 종료 규칙에 사용 가능한 작업으로는 Allow, Block, CAPTCHA 및 Challenge가 있습니다. 웹 요청을 검사하는 동안 요청과 일치하고 종료 작업이 있는 첫 번째 규칙에서는 검사를 AWS WAF 중지하고 작업을 적용합니다. 웹 요청에는 일치하는 종료 규칙에 대해 로그에 보고된 위협 외에도 다른 위협이 포함될 수 있습니다.

이는 SQL 명령어 삽입 및 크로스 사이트 스크립팅(XSS) 일치 규칙 문에 대해서만 채워집니다. 일치 규칙에는 둘 이상의 검사 기준에 대한 일치가 필요할 수 있으므로 이러한 일치 세부 정보는 일치 기준 배열로 제공됩니다.

terminatingRuleType

요청을 종료한 규칙의 유형. 가능한 값: RATE_BASED, REGULAR, GROUP 및 MANAGED_RULE_GROUP.

타임스탬프

밀리초 단위의 타임스탬프.

uri

요청의 URI.

fragment

#section2와 같이 리소스에 대한 추가 정보를 제공하는 "#" 기호 뒤에 있는 URL의 부분입니다.

webaclId

보호 팩의 GUID(웹 ACL).