本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
日誌欄位
下列清單說明可能的記錄檔欄位。
- 動作
-
AWS WAF 套用至要求的終止動作。這表示允許,阻止,驗證碼或挑戰。當 Web 請求不包含有效令牌時,CAPTCHA和Challenge操作將終止。
- args
-
查詢字串。
- 驗證碼
-
請求的 CAPTCHA 操作狀態,當一個CAPTCHA動作被應用到請求填充。此欄位會針對任何CAPTCHA動作填入,無論是終止還是非終止動作。如果要求多次套用CAPTCHA動作,則會從上次套用動作開始填入此欄位。
當請求不包含令牌或令牌無效或過期時,該CAPTCHA操作終止 Web 請求檢查。如果CAPTCHA動作正在終止,此欄位會包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason
屬性。 - 挑戰回應
-
要求的挑戰動作狀態,會在將Challenge動作套用至要求時填入。此欄位會針對任何Challenge動作填入,無論是終止還是非終止動作。如果要求多次套用Challenge動作,則會從上次套用動作開始填入此欄位。
當請求不包含令牌或令牌無效或過期時,該Challenge操作終止 Web 請求檢查。如果Challenge動作正在終止,此欄位會包含回應代碼和失敗原因。如果動作未終止,則此欄位會包含解決時間戳記。若要區分終止動作與非終止動作,您可以篩選此欄位中的非空白
failureReason
屬性。 - clientIp
-
傳送請求的用戶端 IP 地址。
- 國家/地區
-
請求來源的國家/地區。如果 AWS WAF 無法確定原產國,則會將此欄位設定為
-
。 - excludedRules
-
僅用於規則群組規則。規則群組中已排除的規則清單。這些規則的動作設定為Count。
如果您使用覆寫規則動作選項覆寫要計數的規則,則此處不會列出相符項目。它們被列為動作配對
action
和overriddenAction
。- exclusionType
-
表示排除的規則具有動作的類型Count。
- ruleId
-
在規則群組中被排除的規則 ID。
- formatVersion
-
日誌的格式版本。
- 標頭
-
標題清單。
- httpMethod
-
請求的 HTTP 方法。
- httpRequest
-
請求的中繼資料。
- httpSourceId
-
關聯資源的 ID:
對於 Amazon CloudFront 分發,ID 是 ARN 語法
distribution-id
中的 ID:arn:partitioncloudfront::account-id:distribution/distribution-id
-
對於 Application Load Balancer,ID 是 ARN 語法
load-balancer-id
中的:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
對於 Amazon API Gateway REST API,該識別碼是 ARN 語法
api-id
中的標識:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
對於一個 AWS AppSync GraphQL API,識別碼是 ARN 語法
GraphQLApiId
中的:arn:partition:appsync:region:account-id:apis/GraphQLApiId
對於 Amazon Cognito 使用者集區而言,識別碼是 ARN 語法
user-pool-id
中的識別碼:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
對於 AWS App Runner 服務,識別碼是 ARN 語法
apprunner-service-id
中的:arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
請求的來源。可能的值:
CF
適用於 Amazon CloudFront、APIGW
Amazon API Gateway、應ALB
用程式負載平衡器、用APPSYNC
COGNITOIDP
於 AWS AppSync Amazon Cognito、應APPRUNNER
用程式執行器,以及VERIFIED_ACCESS
已驗證存取。 - httpVersion
-
HTTP 版本。
- 指紋
-
要求的 JA3 指紋。
注意
JA3 指紋檢測僅適用於 Amazon CloudFront 分發和應用程式負載平衡器。
JA3 指紋是一個 32 個字元的雜湊,衍生自傳入要求的 TLS 用戶端 Hello。此指紋可做為用戶端 TLS 組態的唯一識別碼。 AWS WAF 針對具有足夠 TLS 用戶端 Hello 資訊進行計算的每個要求,計算並記錄此指紋。
當您在 Web ACL 規則中設定 JA3 指紋比對時,請提供此值。如需有關建立與 JA3 指紋相符項目的詳細資訊,請參閱JA3指紋中的 要求元件選項 for 規則陳述式。
- labels
-
網頁要求上的標籤。這些標籤是由用來評估請求的規則所套用。 AWS WAF 記錄前 100 個標籤。
- nonTerminatingMatching規則
-
符合要求的非終止規則清單。清單中的每個項目都包含下列資訊。
- 動作
-
AWS WAF 套用至要求的動作。這表示計數,驗證碼或挑戰。當 Web 要求包含有效權杖時,CAPTCHA和Challenge不會終止。
- ruleId
-
符合要求且未終止的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。只有 SQL 插入和跨網站指令碼 (XSS) 比對規則陳述式才會填入此欄位。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有CAPTCHA或Challenge動作的規則,
challengeResponse
將會列出captchaResponse
或。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction
。 - 超大字段
-
Web 請求中由 Web ACL 檢查且超過 AWS WAF 檢驗限制的欄位清單。如果欄位過大,但 Web ACL 未檢查,則此處將不會列出該欄位。
此清單可以包含零個或多個下列值:
REQUEST_BODY
REQUEST_JSON_BODY
、REQUEST_HEADERS
、和REQUEST_COOKIES
。若要取得有關過大欄位的更多資訊,請參閱處理超大請求組件 AWS WAF。 - rateBasedRule清單
-
處理請求的以速率為基礎的規則名單。如需以比率為基礎的規則的資訊,請參閱速率型規則陳述式。
- rateBasedRule識別碼
-
處理請求的速率規則 ID。若此項目已終止請求,則
rateBasedRuleId
的 ID 將與terminatingRuleId
的 ID 相同。 - rateBasedRule姓名
-
根據請求採取行動的以費率為基準的規則名稱。
- limitKey
-
規則正在使用的彙總類型。可能的值是
IP
針對 Web 請求來源,FORWARDED_IP
對於在請求標題中轉發的 IP,用CUSTOMKEYS
於自定義彙總密鑰設置。並用CONSTANT
於將所有請求一起計數,而不進行聚合。 - 極限值
-
僅在以單一 IP 位址類型限制速率時使用。如果要求包含無效的 IP 位址,則
limitvalue
為INVALID
. - maxRateAllowed
-
特定聚總執行處理在指定時間範圍內允許的要求數目上限。彙總執行個體由
limitKey
加上您在以速率為基礎的規則組態中提供的任何其他索引鍵規格所定義。 - evaluationWindowSec
-
AWS WAF 包含在其請求中的時間計數,以秒為單位。
- 自訂值
-
請求中以比率為基準的規則所識別的唯一值。對於字串值,記錄會列印字串值的前 32 個字元。視金鑰類型而定,這些值可能只適用於索引鍵,例如 HTTP 方法或查詢字串,也可能用於索引鍵和名稱,例如用於標頭和標頭名稱。
- requestHeadersInserted
-
插入用於自訂要求處理的標頭清單。
- requestId
-
請求的 ID,由基礎主機服務產生。對於 Application Load Balancer,這是追蹤識別碼。對於所有其他人,這是請求 ID。
- responseCodeSent
-
隨自訂回應一起傳送的回應碼。
- ruleGroupId
-
規則群組的 ID。若規則封鎖請求,則
ruleGroupID
的 ID 將與terminatingRuleId
的 ID 相同。 - ruleGroupList
-
針對此要求採取動作的規則群組清單,以及比對資訊。
- terminatingRule
-
終止要求的規則。如果存在,則它包含以下信息。
- 動作
-
AWS WAF 套用至要求的終止動作。這表示允許,阻止,驗證碼或挑戰。當 Web 請求不包含有效令牌時,CAPTCHA和Challenge操作將終止。
- ruleId
-
符合要求的規則識別碼。
- ruleMatchDetails
-
有關符合要求之規則的詳細資訊。只有 SQL 插入和跨網站指令碼 (XSS) 比對規則陳述式才會填入此欄位。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
為每個規則提供的任何其他資訊會因規則組態、規則比對類型和比對詳細資訊等因素而有所不同。例如,對於具有CAPTCHA或Challenge動作的規則,
challengeResponse
將會列出captchaResponse
或。如果比對規則位於規則群組中,且您已覆寫其設定的規則動作,則會在中提供已設定的動作overriddenAction
。 - terminatingRuleId
-
終止請求的規則 ID。如果無法終止請求,則值為
Default_Action
。 - terminatingRuleMatch詳情
-
符合請求之終止規則的詳細資訊。終止規則對 Web 請求具有結束檢查程序的動作。終止規則的可能動作包括AllowBlock、CAPTCHA、和Challenge。在檢查 Web 要求期間,在符合要求且具有終止動作的第一個規則中, AWS WAF 會停止檢查並套用動作。除了記錄檔中針對相符終止規則報告的安全威脅外,Web 要求可能還包含其他安全威脅。
這只會為 SQL Injection 和跨網站指令碼 (XSS) 符合規則陳述式填入。相符規則可能需要符合多個檢驗準則,因此這些比對詳細資訊會以符合條件陣列的形式提供。
- terminatingRuleType
-
終止請求的規則類型。可能的值:RATE_BASED、REGULAR、GROUP 和 MANAGED_RULE_GROUP。
- timestamp
-
時間戳記,以毫秒為單位。
- uri
-
URI 請求。
- webaclId
-
Web ACL 的 GUID。