Campi di registro per il traffico del Protection Pack (Web ACL)

L'elenco seguente descrive i possibili campi di registro.

operazione

L'azione di terminazione AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.

args

Stringa query.

Risposta CAPTCHA

Lo stato dell'azione CAPTCHA per la richiesta, compilato quando viene applicata un'CAPTCHAazione alla richiesta. Questo campo viene compilato per qualsiasi CAPTCHA azione, terminante o non terminante. Se una richiesta ha l'CAPTCHAazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'CAPTCHAazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'CAPTCHAazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

cfr DistributionTenantId

L'identificatore del tenant CloudFront di distribuzione associato alla richiesta web. Questo campo è facoltativo e si applica solo ai protection pack (ACL Web) associati CloudFront ai tenant di distribuzione.

ChallengeResponse

Lo stato dell'azione di sfida per la richiesta, compilato quando un'Challengeazione viene applicata alla richiesta. Questo campo viene compilato per qualsiasi Challenge azione, terminante o non terminante. Se una richiesta ha l'Challengeazione applicata più volte, questo campo viene compilato dall'ultima volta che l'azione è stata applicata.

L'Challengeazione interrompe l'ispezione delle richieste Web quando la richiesta non include un token o il token non è valido o è scaduto. Se l'Challengeazione sta terminando, questo campo include un codice di risposta e il motivo dell'errore. Se l'azione non è terminativa, questo campo include un timestamp di risoluzione. Per distinguere tra un'azione terminante e un'azione non terminante, puoi filtrare in base a un attributo non vuoto in questo campo. failureReason

ASN del cliente

L'Autonomous System Number (ASN) associato all'indirizzo IP dell'origine della richiesta web.

Nota

ClientASN viene registrato nei AWS WAF log solo quando viene utilizzata un'istruzione ASN match. Altrimenti questo campo non viene registrato.

clientIp

Indirizzo IP del client che invia la richiesta.

paese

Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su-.

paese

Paese di origine della richiesta. Se non AWS WAF è in grado di determinare il paese di origine, imposta questo campo su-.

excludedRules

Utilizzato solo per le regole dei gruppi di regole. L'elenco di regole nel gruppo di regole che sono state escluse. L'azione per queste regole è impostata suCount.

Se sostituisci una regola per contarla utilizzando l'opzione di azione sostituisci la regola, le corrispondenze non vengono elencate qui. Sono elencate come coppie action di azioni e. overriddenAction

exclusionType: Un tipo che indica che la regola esclusa ha l'azione. Count
ruleId: L'ID della regola all'interno del gruppo di regole che è esclusa.

Tipo di formato

Tipo di formato per il log.

Inoltrato come N

L'Autonomous System Number (ASN) associato all'indirizzo IP dell'entità che ha inoltrato la richiesta web.

headers

Elenco intestazioni.

httpMethod

Metodo HTTP nella richiesta.

httpRequest

Metadati sulla richiesta.

http SourceId

L'ID della risorsa associata:

Per una CloudFront distribuzione Amazon, l'ID è il seguente distribution-id nella sintassi ARN:

arn:partitioncloudfront::account-id:distribution/distribution-id
Per un Application Load Balancer, l'ID è il seguente load-balancer-id nella sintassi ARN:

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
Per un'API REST di Amazon API Gateway, l'ID è il api-id seguente nella sintassi ARN:

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Per un'API AWS AppSync GraphQL, l'ID è il seguente GraphQLApiId nella sintassi ARN:

arn:partition:appsync:region:account-id:apis/GraphQLApiId
Per un pool di utenti di Amazon Cognito, l'ID è il seguente user-pool-id nella sintassi ARN:

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Per un AWS App Runner servizio, l'ID è il seguente apprunner-service-id nella sintassi ARN:

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

http SourceName

Origine della richiesta. Valori possibili: CF per Amazon CloudFront, APIGW per Amazon API Gateway, ALB per Application Load Balancer, APPSYNC per Amazon Cognito AWS AppSyncAPPRUNNER, COGNITOIDP per App Runner e per Verified Access. VERIFIED_ACCESS

httpVersion

Versione HTTP.

Impronta digitale JA3

L'impronta digitale JA3 della richiesta.

Nota

L'ispezione delle impronte digitali JA3 è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L'impronta digitale JA3 è un hash di 32 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza di impronte digitali JA3 nelle regole del tuo Protection Pack (Web ACL). Per informazioni sulla creazione di una corrispondenza con l'impronta digitale JA3, vedi JA3 impronta digitale nella dichiarazione per una regola. Richiedi componenti in AWS WAF

Impronta digitale JA4

L'impronta digitale JA4 della richiesta.

Nota

L'ispezione delle impronte digitali JA4 è disponibile solo per le CloudFront distribuzioni Amazon e gli Application Load Balancer.

L'impronta digitale JA4 è un hash di 36 caratteri derivato dal TLS Client Hello di una richiesta in arrivo. Questa impronta digitale funge da identificatore univoco per la configurazione TLS del client. AWS WAF calcola e registra questa impronta digitale per ogni richiesta che contiene informazioni TLS Client Hello sufficienti per il calcolo.

Fornisci questo valore quando configuri una corrispondenza di impronte digitali JA4 nelle regole del tuo Protection Pack (Web ACL). Per informazioni sulla creazione di una corrispondenza con l'impronta digitale JA4, vedi JA4 impronta digitale nella dichiarazione per una regola. Richiedi componenti in AWS WAF

labels

Le etichette sulla richiesta web. Queste etichette sono state applicate in base a regole utilizzate per valutare la richiesta. AWS WAF registra le prime 100 etichette.

non TerminatingMatchingRules

L'elenco delle regole non terminative che corrispondono alla richiesta. Ogni elemento dell'elenco contiene le seguenti informazioni.

operazione: L'azione AWS WAF applicata alla richiesta. Indica il conteggio, il CAPTCHA o la sfida. Gli CAPTCHA e Challenge non terminano quando la richiesta web contiene un token valido.
ruleId: L'ID della regola che corrispondeva alla richiesta e non terminava.
regola MatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

Le eventuali informazioni aggiuntive fornite per ciascuna regola variano in base a fattori quali la configurazione della regola, il tipo di corrispondenza delle regole e i dettagli della corrispondenza. Ad esempio, per le regole con un'Challengeazione CAPTCHA o, challengeResponse verrà elencato l'captchaResponseo. Se la regola corrispondente fa parte di un gruppo di regole e hai sovrascritto l'azione della regola configurata, l'azione configurata verrà fornita in. overriddenAction

Campi sovradimensionati

L'elenco dei campi della richiesta Web che sono stati controllati dal Protection Pack (Web ACL) e che superano il limite di ispezione. AWS WAF Se un campo è sovradimensionato ma il protection pack (Web ACL) non lo ispeziona, non verrà elencato qui.

Questo elenco può contenere zero o più dei seguenti valori:REQUEST_BODY,REQUEST_JSON_BODY, REQUEST_HEADERS e. REQUEST_COOKIES Per ulteriori informazioni sui campi sovradimensionati, vedereComponenti di richiesta Web di grandi dimensioni in AWS WAF.

tasso BasedRuleList

L'elenco di tutte le regole basate sulla tariffa nell'ACL Web che sono state valutate in base alla richiesta. Ciò include regole che non possono essere valutate completamente. Per informazioni sulle regole basate sulle tariffe, vedere. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF

tasso BasedRuleId: L'ID della regola basata sulla tariffa. Se ciò ha terminato la richiesta, l'ID di rateBasedRuleId è uguale all'ID di terminatingRuleId. Questo campo è impostato su NO_EVALUATION_PERFORMED quando la regola non può essere valutata. Ciò può accadere quando nella richiesta manca una chiave di aggregazione personalizzata, ad esempio un'intestazione o un cookie richiesto dall'aggregazione. CUSTOMKEYS
tasso BasedRuleName: Il nome della regola basata sulla tariffa.
limitKey: Il tipo di aggregazione utilizzato dalla regola. I valori possibili sono IP per l'origine della richiesta Web, FORWARDED_IP per un IP inoltrato in un'intestazione della richiesta, CUSTOMKEYS per le impostazioni di chiave aggregate personalizzate e CONSTANT per contare tutte le richieste insieme, senza aggregazione.
Valore limite: Utilizzato solo per limitare la velocità in base a un singolo tipo di indirizzo IP. Se una richiesta contiene un indirizzo IP non valido, lo limitvalue èINVALID.
max RateAllowed: Il numero massimo di richieste consentite nella finestra temporale specificata per una specifica istanza di aggregazione. L'istanza di aggregazione è definita dalla limitKey somma di eventuali specifiche chiave aggiuntive fornite nella configurazione delle regole basate sulla frequenza.
valutazione WindowSec: La quantità di tempo AWS WAF inclusa nella richiesta conta, in secondi.
Valori personalizzati: Valori univoci identificati dalla regola basata sulla tariffa nella richiesta. Per i valori di stringa, i registri stampano i primi 32 caratteri del valore della stringa. A seconda del tipo di chiave, questi valori potrebbero essere solo per una chiave, ad esempio per il metodo HTTP o la stringa di query, oppure potrebbero riguardare una chiave e un nome, ad esempio per l'intestazione e il nome dell'intestazione.

richiesta HeadersInserted

L'elenco delle intestazioni inserite per la gestione personalizzata delle richieste.

requestId

ID della richiesta, generato dal servizio host sottostante. Per Application Load Balancer, questo è l'ID di traccia. Per tutti gli altri, questo è l'ID della richiesta.

risposta CodeSent

Il codice di risposta inviato con una risposta personalizzata.

regola GroupId

ID del gruppo di regole. Se la regola ha bloccato la richiesta, l'ID per ruleGroupID è uguale all'ID per terminatingRuleId.

regola GroupList

L'elenco dei gruppi di regole che hanno risposto a questa richiesta, con informazioni sulla partita.

terminatingRule

La regola che ha terminato la richiesta. Se è presente, contiene le seguenti informazioni.

operazione: L'azione di terminazione AWS WAF applicata alla richiesta. Ciò indica l'autorizzazione, il blocco, il CAPTCHA o la contestazione. Le Challenge azioni CAPTCHA and terminano quando la richiesta web non contiene un token valido.
ruleId: L'ID della regola che corrisponde alla richiesta.
regola MatchDetails: Informazioni dettagliate sulla regola corrispondente alla richiesta. Questo campo viene compilato solo per le istruzioni SQL injection e Cross-Site Scripting (XSS) Match Rule. Una regola di corrispondenza potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminando RuleId

ID della regola che ha terminato la richiesta. Se non viene terminata la richiesta, il valore è Default_Action.

terminando RuleMatchDetails

Informazioni dettagliate sulla regola di terminazione corrispondente alla richiesta. Una regola di terminazione ha un'azione che termina il processo di ispezione di una richiesta Web. Le azioni possibili per una regola di terminazione includonoAllow, BlockCAPTCHA, e. Challenge Durante l'ispezione di una richiesta Web, alla prima regola che corrisponde alla richiesta e che prevede un'azione di terminazione, AWS WAF interrompe l'ispezione e applica l'azione. La richiesta web potrebbe contenere altre minacce, oltre a quella riportata nel registro per la regola di terminazione corrispondente.

Questo viene popolato solo per le istruzioni delle regole di corrispondenza SQL injection e Cross-site scripting (XSS). La regola di abbinamento potrebbe richiedere una corrispondenza per più di un criterio di ispezione, pertanto questi dettagli di corrispondenza vengono forniti come una serie di criteri di corrispondenza.

terminando RuleType

Tipo della regola che ha terminato la richiesta. Valori possibili: RATE_BASED, REGULAR, GROUP e MANAGED_RULE_GROUP.

timestamp

Time Stamp in millisecondi.

uri

URI della richiesta.

fragment

La parte di un URL che segue il simbolo «#», che fornisce informazioni aggiuntive sulla risorsa, ad esempio #section2.

webaclId

Il GUID del pacchetto di protezione (ACL web).

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ricerca dei record del Protection Pack (Web ACL)

Esempi di log