本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
日誌欄位
下列清單說明可能的記錄檔欄位。
- 動作
-
AWS WAF 套用至要求的終止動作。這表示允許,阻止,驗證碼或挑戰。當 Web 請求不包含有效令牌時,CAPTCHA和Challenge操作將終止。
- args
-
查詢字串。
- 驗證碼
-
請求的 CAPTCHA 操作狀態,當一個CAPTCHA動作被應用到請求填充。此欄位會針對任何CAPTCHA動作填入,無論是終止還是非終止動作。如果要求多次套用CAPTCHA動作,則會從上次套用動作開始填入此欄位。
當請求不包含令牌或令牌無效或過期時,該CAPTCHA操作終止 Web 請求檢查。如果CAPTCHA動作正在終止,此欄位會包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason
屬性。 - 挑戰回應
-
要求的挑戰動作狀態,會在將Challenge動作套用至要求時填入。此欄位會針對任何Challenge動作填入,無論是終止還是非終止動作。如果要求多次套用Challenge動作,則會從上次套用動作開始填入此欄位。
當請求不包含令牌或令牌無效或過期時,該Challenge操作終止 Web 請求檢查。如果Challenge動作正在終止,此欄位會包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason
屬性。 - clientIp
-
傳送請求的用戶端 IP 地址。
- 國家/地區
-
請求來源的國家/地區。如果 AWS WAF 無法確定原產國,則會將此欄位設定為
-
。 - excludedRules
-
僅用於規則群組規則。規則群組中已排除的規則清單。這些規則的動作設定為Count。
如果您使用覆寫規則動作選項覆寫要計數的規則,則此處不會列出相符項目。它們被列為動作配對
action
和overriddenAction
。- exclusionType
-
表示排除的規則具有動作的類型Count。
- ruleId
-
在規則群組中被排除的規則 ID。
- formatVersion
-
日誌的格式版本。
- 標頭
-
標題清單。
- httpMethod
-
請求的 HTTP 方法。
- httpRequest
-
請求的中繼資料。
- httpSourceId
-
關聯資源的 ID:
對於 Amazon CloudFront 分發,ID 是 ARN 語法
distribution-id
中的 ID:arn:partitioncloudfront::account-id:distribution/distribution-id
-
對於 Application Load Balancer,ID 是 ARN 語法
load-balancer-id
中的:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
對於 Amazon API Gateway REST API,該識別碼是 ARN 語法
api-id
中的標識:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
對於一個 AWS AppSync GraphQL API,識別碼是 ARN 語法
GraphQLApiId
中的:arn:partition:appsync:region:account-id:apis/GraphQLApiId
對於 Amazon Cognito 使用者集區而言,識別碼是 ARN 語法
user-pool-id
中的識別碼:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
對於 AWS App Runner 服務,識別碼是 ARN 語法
apprunner-service-id
中的:arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
請求的來源。可能的值:
CF
適用APIGW
於 Amazon CloudFront、Amazon API Gateway、應ALB
用程式負載平衡器 AWS AppSync、APPSYNC
COGNITOIDP
Amazon Cognito、應APPRUNNER
用程式執行器和VERIFIED_ACCESS
已驗證存取。 - httpVersion
-
HTTP 版本。
- 指紋
-
要求的 JA3 指紋。JA3 指紋是從傳入要求的 TLS 用戶端 Hello 衍生的 32 個字元雜湊。此指紋可做為用戶端 TLS 組態的唯一識別碼。 AWS WAF 針對具有足夠 TLS 用戶端 Hello 資訊進行計算的每個要求,計算並記錄此指紋。
當您在 Web ACL 規則中設定 JA3 指紋比對時,請提供此值。如需有關建立與 JA3 指紋相符項目的詳細資訊,請參閱指紋中的 要求元件選項 for 規則陳述式。
- labels
-
網頁要求上的標籤。這些標籤是由用來評估請求的規則所套用。 AWS WAF 記錄前 100 個標籤。
- nonTerminatingMatching規則
-
符合要求的非終止規則清單。清單中的每個項目都包含下列資訊。
- 動作
-
AWS WAF 套用至要求的動作。這表示計數,驗證碼或挑戰。當 Web 要求包含有效權杖時,CAPTCHA和Challenge不會終止。
- ruleId
-
符合要求且未終止的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。只有 SQL 插入和跨網站指令碼 (XSS) 比對規則陳述式才會填入此欄位。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有CAPTCHA或Challenge動作的規則,
challengeResponse
將會列出captchaResponse
或。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction
。 - 超大字段
-
Web 請求中由 Web ACL 檢查且超過 AWS WAF 檢驗限制的欄位清單。如果欄位過大,但 Web ACL 未檢查,則此處將不會列出該欄位。
此清單可以包含零個或多個下列值:
REQUEST_BODY
REQUEST_JSON_BODY
、REQUEST_HEADERS
、和REQUEST_COOKIES
。若要取得有關過大欄位的更多資訊,請參閱處理過大的 Web 請求組件 AWS WAF。 - rateBasedRule清單
-
處理請求的以速率為基礎的規則名單。如需以比率為基礎的規則的資訊,請參閱速率型規則陳述式。
- rateBasedRule識別碼
-
處理請求的速率規則 ID。若此項目已終止請求,則
rateBasedRuleId
的 ID 將與terminatingRuleId
的 ID 相同。 - rateBasedRule姓名
-
根據請求採取行動的以費率為基準的規則名稱。
- limitKey
-
規則正在使用的彙總類型。可能的值是
IP
針對 Web 請求來源,FORWARDED_IP
對於在請求標題中轉發的 IP,用CUSTOMKEYS
於自定義彙總密鑰設置。並用CONSTANT
於將所有請求一起計數,而不進行聚合。 - 極限值
-
僅在以單一 IP 位址類型限制速率時使用。如果要求包含無效的 IP 位址,則
limitvalue
為INVALID
. - maxRateAllowed
-
特定聚總執行處理在指定時間範圍內允許的要求數目上限。彙總執行個體由
limitKey
加上您在速率型規則組態中提供的任何其他索引鍵規格所定義。 - evaluationWindowSec
-
AWS WAF 包含在其請求中的時間計數,以秒為單位。
- 自訂值
-
請求中以比率為基準的規則所識別的唯一值。對於字串值,記錄會列印字串值的前 32 個字元。視金鑰類型而定,這些值可能只適用於索引鍵,例如 HTTP 方法或查詢字串,也可能用於索引鍵和名稱,例如用於標頭和標頭名稱。
- requestHeadersInserted
-
插入用於自訂要求處理的標頭清單。
- requestId
-
請求的 ID,由基礎主機服務產生。對於 Application Load Balancer,這是追蹤識別碼。對於所有其他人,這是請求 ID。
- responseCodeSent
-
隨自訂回應一起傳送的回應碼。
- ruleGroupId
-
規則群組的 ID。若規則封鎖請求,則
ruleGroupID
的 ID 將與terminatingRuleId
的 ID 相同。 - ruleGroupList
-
針對此要求採取動作的規則群組清單,以及比對資訊。
- terminatingRule
-
終止要求的規則。如果存在,則它包含以下信息。
- 動作
-
AWS WAF 套用至要求的終止動作。這表示允許,阻止,驗證碼或挑戰。當 Web 請求不包含有效令牌時,CAPTCHA和Challenge操作將終止。
- ruleId
-
符合要求的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。只有 SQL 插入和跨網站指令碼 (XSS) 比對規則陳述式才會填入此欄位。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有CAPTCHA或Challenge動作的規則,
challengeResponse
將會列出captchaResponse
或。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction
。 - terminatingRuleId
-
終止請求的規則 ID。如果無法終止請求,則值為
Default_Action
。 - terminatingRuleMatch詳情
-
符合請求之終止規則的詳細資訊。終止規則對 Web 請求具有結束檢查程序的動作。終止規則的可能動作包括AllowBlock、CAPTCHA、和Challenge。在檢查 Web 要求期間,在符合要求且具有終止動作的第一個規則中, AWS WAF 會停止檢查並套用動作。除了記錄檔中針對相符終止規則報告的安全威脅外,Web 要求可能還包含其他安全威脅。
這只會為 SQL Injection 和跨網站指令碼 (XSS) 符合規則陳述式填入。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
- terminatingRuleType
-
終止請求的規則類型。可能的值:RATE_BASED、REGULAR、GROUP 和 MANAGED_RULE_GROUP。
- timestamp
-
時間戳記,以毫秒為單位。
- uri
-
URI 請求。
- webaclId
-
Web ACL 的 GUID。