日志字段 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

日志字段

以下列表描述了可能的日志字段。

action

应用于请求的操作。Allow和Block正在终止规则操作。Count是非终止规则操作。CAPTCHA和Challenge如果请求包含有效令牌,则为非终止;如果不包含有效令牌,则终止。

args

查询字符串。

CaptchareResponse

对请求的验证码响应,填充在CAPTCHA操作会导致 Web 请求检查终止。这个CAPTCHA当请求不包含令牌或令牌无效或过期时,操作会终止 Web 请求检查。此字段包含响应代码和失败原因。

挑战响应

对请求的质疑响应,填充于Challenge操作会导致 Web 请求检查终止。这个Challenge当请求不包含令牌或令牌无效或过期时,操作会终止 Web 请求检查。此字段包含响应代码和失败原因。

clientIp

发送请求的客户端的 IP。

country

请求的源国家/地区。如果Amazon WAF无法确定原产国,它将此字段设置为-

excludedRules

仅用于规则组规则。规则组中您排除的规则的列表。这些规则的操作设置为Count。

如果您使用替代规则操作选项覆盖规则以进行计数,则此处不会列出匹配项。它们被列为动作对actionoverriddenAction

排除类型

表示排除的规则具有操作的类型Count。

规则 ID

规则组中排除的规则的 ID。

formatVersion

日志的格式版本。

headers

标头的列表。

httpMethod

请求中的 HTTP 方法。

httpRequest

关于请求的元数据。

httpSourceId

关联资源的 ID:

  • 对于亚马逊CloudFront分布,ID 是distribution-id在 ARN 语法中:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • 对于应用程序负载均衡器,ID 是load-balancer-id在 ARN 语法中:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • 对于亚马逊 API 网关 REST API,ID 是api-id在 ARN 语法中:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • 为了一个Amazon AppSyncGraphQL API,ID 是GraphQLApiId在 ARN 语法中:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • 对于亚马逊 Cognito 用户池,ID 是user-pool-id在 ARN 语法中:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • 为了一个Amazon App Runner服务,ID 是apprunner-service-id在 ARN 语法中:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

请求的源。可能的值:CF适用于亚马逊CloudFront,APIGW对于亚马逊 API 网关,ALB对于应用程序负载均衡器,APPSYNC为了Amazon AppSync,COGNITOIDP对于亚马逊 Cognito 来说,APPRUNNER适用于 App Runner,以及VERIFIED_ACCESS用于经过验证的访问权限。

httpVersion

HTTP 版本。

labels

网络请求上的标签。这些标签由用于评估请求的规则应用。Amazon WAF记录前 100 个标签。

nonTerminatingMatching规则

与请求匹配的非终止规则列表。

action

那个动作Amazon WAF适用于请求。这表示计数、验证码或挑战次数。这个CAPTCHA和Challenge当 Web 请求包含有效令牌时,不会终止。

Overridden A

仅用于在 Web ACL 中替代了规则操作的规则组规则。这是为规则组规则配置的操作,而不是应用于请求的操作。那个动作Amazon WAF应用的是action价值。

规则 ID

与请求匹配且非终止规则的 ID。

ruleMatchDetails

有关与请求匹配的规则的详细信息。仅为 SQL 注入和跨站脚本 (XSS) 匹配规则语句填充此字段。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。

超大字段

Web 请求中已经 Web ACL 检查且已超过 Web ACL 的字段列表Amazon WAF检查限制。如果字段过大,但 Web ACL 未对其进行检查,则不会在此处列出。

此列表可以包含以下值中的零个或多个:REQUEST_BODYREQUEST_JSON_BODYREQUEST_HEADERS,以及REQUEST_COOKIES。有关超大字段的更多信息,请参阅在中处理超大的 Web 请求组件Amazon WAF

rateBasedRule清单

对请求执行操作的基于速率的规则列表。有关基于费率的规则的信息,请参见基于速率的规则语句

rateBasedRule同上

作用于请求的基于速率的规则的 ID。如果这已终止请求,则 rateBasedRuleId 的 ID 与 terminatingRuleId 的 ID 相同。

rateBasedRule姓名

根据请求执行的基于费率的规则的名称。

limitKey

规则使用的聚合类型。可能的值是IP对于网络请求的来源,FORWARDED_IP对于在请求的标头中转发的 IP,CUSTOMKEYS用于自定义聚合密钥设置。和CONSTANTfor 将所有请求合并在一起计算,不进行聚合。

极限值

仅在使用单个 IP 地址类型限制速率时使用。如果请求包含无效的 IP 地址,limitvalueINVALID

maxRateAllowed

特定聚合实例在五分钟内允许的最大请求数。该实例由定义limitKey以及基于费率的规则配置中提供的任何其他关键规范。

自定义值

由请求中基于费率的规则标识的唯一值。对于字符串值,日志打印字符串值的前 32 个字符。根据密钥类型,这些值可能仅适用于密钥,例如 HTTP 方法或查询字符串,也可能用于键和名称,例如用于标头和标头名称。

requestHeadersInserted

为处理自定义请求而插入的标头列表。

requestId

请求的 ID,由底层主机服务生成。对于应用程序负载均衡器,这是跟踪 ID。对于所有其他人,这是请求 ID。

responseCodeSent

随自定义响应一起发送的响应代码。

ruleGroupId

规则组的 ID。如果规则阻止了请求,则 ruleGroupID 的 ID 与 terminatingRuleId 的 ID 相同。

ruleGroupList

对此请求采取行动的规则组列表,包含匹配信息。

terminatingRule

终止请求的规则。如果这是非空值,则它包含以下附加字段。

action

那个动作Amazon WAF适用于请求。这表示允许、封禁、验证码或挑战。这个CAPTCHA和Challenge当 Web 请求不包含有效令牌时,操作将终止。

Overridden A

仅用于在 Web ACL 中替代了规则操作的规则组规则。这是为规则组规则配置的操作,而不是应用于请求的操作。那个动作Amazon WAF应用的是action价值。

规则 ID

与请求匹配的规则的 ID。

ruleMatchDetails

有关与请求匹配的规则的详细信息。仅为 SQL 注入和跨站脚本 (XSS) 匹配规则语句填充此字段。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。

terminatingRuleId

终止请求的规则的 ID。如果没有任何情况会终止请求,则值为 Default_Action

terminatingRuleMatch细节

有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则的可能操作包括Allow,Block,CAPTCHA,以及Challenge。在检查 Web 请求期间,在与请求匹配且具有终止操作的第一条规则处,Amazon WAF停止检查并应用操作。除了匹配的终止规则日志中报告的威胁外,Web 请求可能还包含其他威胁。

这仅适用于 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。

terminatingRuleType

终止请求的规则的类型。可能的值:RATE_BASED、REGULAR、GROUP 和 MANAGED_RULE_GROUP。

timestamp

时间戳,以毫秒为单位。

uri

请求的 URI。

webaclId

Web ACL 的 GUID。