View a markdown version of this page

Bidang log untuk lalu lintas paket perlindungan (web ACL) - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, dan AWS Shield direktur keamanan jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan konsol.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bidang log untuk lalu lintas paket perlindungan (web ACL)

Daftar berikut menjelaskan bidang log yang mungkin.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.

argumen

String kueri.

CaptCharesponse

Status tindakan CAPTCHA untuk permintaan, diisi saat CAPTCHA tindakan diterapkan ke permintaan. Bidang ini diisi untuk CAPTCHA tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki CAPTCHA tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

CAPTCHATindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika CAPTCHA tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

lih DistributionTenantId

Pengidentifikasi untuk penyewa CloudFront distribusi yang terkait dengan permintaan web. Bidang ini bersifat opsional dan hanya berlaku untuk paket perlindungan (ACL web) yang terkait dengan penyewa CloudFront distribusi.

ChallengeResponse

Status tindakan tantangan untuk permintaan, diisi saat Challenge tindakan diterapkan pada permintaan. Bidang ini diisi untuk Challenge tindakan apa pun, baik penghentian atau non-penghentian. Jika permintaan memiliki Challenge tindakan yang diterapkan beberapa kali, bidang ini diisi dari terakhir kali tindakan diterapkan.

ChallengeTindakan menghentikan pemeriksaan permintaan web ketika permintaan tidak menyertakan token atau token tidak valid atau kedaluwarsa. Jika Challenge tindakan dihentikan, bidang ini menyertakan kode respons dan alasan kegagalan. Jika tindakan tidak berakhir, bidang ini menyertakan stempel waktu pemecahan. Untuk membedakan antara tindakan terminating dan non-terminating, Anda dapat memfilter atribut yang tidak kosong failureReason di bidang ini.

ClientaSN

Autonomous System Number (ASN) yang terkait dengan alamat IP asal permintaan web.

catatan

ClientASN login AWS WAF log hanya ketika pernyataan pencocokan ASN digunakan. Bidang ini tidak dicatat sebaliknya.

clientIp

Alamat IP klien yang mengirim permintaan.

negeri

Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini ke-.

negeri

Negara sumber permintaan. Jika AWS WAF tidak dapat menentukan negara asal, ia menetapkan bidang ini ke-.

excludedRules

Digunakan hanya untuk aturan kelompok aturan. Daftar aturan dalam grup aturan yang telah Anda kecualikan. Tindakan untuk aturan ini diatur keCount.

Jika Anda mengganti aturan untuk dihitung menggunakan opsi tindakan aturan ganti, kecocokan tidak tercantum di sini. Mereka terdaftar sebagai pasangan aksi action danoverriddenAction.

exclusionType

Jenis yang menunjukkan bahwa aturan yang dikecualikan memiliki tindakanCount.

ruleId

ID aturan dalam grup aturan yang dikecualikan.

formatVersion

Versi format untuk log.

TerusanDASN

Autonomous System Number (ASN) terkait dengan alamat IP dari entitas yang meneruskan permintaan web.

headers

Daftar header.

httpMethod

Metode HTTP dalam permintaan.

httpRequest

Metadata tentang permintaan.

http SourceId

ID sumber daya terkait:

  • Untuk CloudFront distribusi Amazon, ID adalah distribution-id dalam sintaks ARN:

    arn:partitioncloudfront::account-id:distribution/distribution-id

  • Untuk Application Load Balancer, ID adalah load-balancer-id dalam sintaks ARN:

    arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id

  • Untuk API REST Amazon API Gateway, ID adalah api-id dalam sintaks ARN:

    arn:partition:apigateway:region::/restapis/api-id/stages/stage-name

  • Untuk AWS AppSync GraphQL API, ID adalah GraphQLApiId dalam sintaks ARN:

    arn:partition:appsync:region:account-id:apis/GraphQLApiId

  • Untuk kumpulan pengguna Amazon Cognito, ID adalah user-pool-id dalam sintaks ARN:

    arn:partition:cognito-idp:region:account-id:userpool/user-pool-id

  • Untuk AWS App Runner layanan, ID adalah apprunner-service-id dalam sintaks ARN:

    arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

http SourceName

Sumber permintaan. Nilai yang memungkinkan: CF untuk Amazon CloudFront, APIGW untuk Amazon API Gateway, ALB untuk Application Load Balancer, APPSYNC untuk, untuk Amazon Cognito AWS AppSync, COGNITOIDP untuk App RunnerAPPRUNNER, VERIFIED_ACCESS dan untuk Akses Terverifikasi.

httpVersion

Versi HTTP.

Ja3sidik jari

Sidik jari JA3 dari permintaan tersebut.

catatan

Pemeriksaan sidik jari JA3 hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.

Sidik jari JA3 adalah hash 32 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.

Anda memberikan nilai ini saat mengonfigurasi kecocokan sidik jari JA3 dalam aturan paket perlindungan (web ACL) Anda. Untuk informasi tentang membuat kecocokan dengan sidik jari JA3, lihat JA3 sidik jari di Minta komponen di AWS WAF untuk pernyataan aturan.

Ja4sidik jari

Sidik jari JA4 dari permintaan tersebut.

catatan

Pemeriksaan sidik jari JA4 hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer.

Sidik jari JA4 adalah hash 36 karakter yang berasal dari TLS Client Hello dari permintaan yang masuk. Sidik jari ini berfungsi sebagai pengenal unik untuk konfigurasi TLS klien. AWS WAF menghitung dan mencatat sidik jari ini untuk setiap permintaan yang memiliki cukup informasi TLS Client Hello untuk perhitungan.

Anda memberikan nilai ini saat mengonfigurasi kecocokan sidik jari JA4 dalam aturan paket perlindungan (web ACL) Anda. Untuk informasi tentang membuat kecocokan dengan sidik jari JA4, lihat JA4 sidik jari di Minta komponen di AWS WAF untuk pernyataan aturan.

label

Label pada permintaan web. Label ini diterapkan oleh aturan yang digunakan untuk mengevaluasi permintaan. AWS WAF mencatat 100 label pertama.

bukan TerminatingMatchingRules

Daftar aturan non-penghentian yang cocok dengan permintaan. Setiap item dalam daftar berisi informasi berikut.

tindakan

Tindakan yang AWS WAF diterapkan pada permintaan. Ini menunjukkan hitungan, CAPTCHA, atau tantangan. The CAPTCHA and Challenge non-terminating ketika permintaan web berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan dan tidak mengakhiri.

aturan MatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

OversizeFields

Daftar bidang dalam permintaan web yang diperiksa oleh paket perlindungan (web ACL) dan yang melebihi batas AWS WAF inspeksi. Jika bidang terlalu besar tetapi paket perlindungan (web ACL) tidak memeriksanya, itu tidak akan tercantum di sini.

Daftar ini dapat berisi nol atau lebih dari nilai-nilai berikut:REQUEST_BODY,REQUEST_JSON_BODY,REQUEST_HEADERS, danREQUEST_COOKIES. Untuk informasi selengkapnya tentang bidang oversize, lihatKomponen permintaan web yang terlalu besar di AWS WAF.

tingkat BasedRuleList

Daftar semua aturan berbasis tarif di ACL web yang dievaluasi terhadap permintaan. Ini termasuk aturan yang tidak dapat dievaluasi sepenuhnya. Untuk informasi tentang aturan berbasis tarif, lihat. Menggunakan pernyataan aturan berbasis tarif di AWS WAF

tingkat BasedRuleId

ID dari aturan berbasis tarif. Jika ini telah menghentikan permintaan, ID untuk rateBasedRuleId sama dengan ID untukterminatingRuleId. Bidang ini diatur ke NO_EVALUATION_PERFORMED saat aturan tidak dapat dievaluasi. Ini dapat terjadi ketika permintaan tidak memiliki kunci agregasi khusus seperti header atau cookie yang diperlukan oleh CUSTOMKEYS agregasi.

tingkat BasedRuleName

Nama aturan berbasis tarif.

limitKey

Jenis agregasi yang digunakan aturan. Nilai yang mungkin adalah IP untuk asal permintaan web, FORWARDED_IP untuk IP yang diteruskan dalam header dalam permintaan, CUSTOMKEYS untuk pengaturan kunci agregat kustom. dan CONSTANT untuk menghitung semua permintaan bersama-sama, tanpa agregasi.

LimitValue

Digunakan hanya ketika tingkat dibatasi oleh satu jenis alamat IP. Jika permintaan berisi alamat IP yang tidak valid, limitvalue adalahINVALID.

maks RateAllowed

Jumlah maksimum permintaan yang diizinkan dalam jendela waktu yang ditentukan untuk contoh agregasi tertentu. Instans agregasi ditentukan oleh limitKey plus setiap spesifikasi kunci tambahan yang telah Anda berikan dalam konfigurasi aturan berbasis laju.

evaluasi WindowSec

Jumlah waktu yang AWS WAF termasuk dalam permintaannya dihitung, dalam hitungan detik.

CustomValues

Nilai unik yang diidentifikasi oleh aturan berbasis tarif dalam permintaan. Untuk nilai string, log mencetak 32 karakter pertama dari nilai string. Tergantung pada jenis kunci, nilai-nilai ini mungkin hanya untuk kunci, seperti untuk metode HTTP atau string kueri, atau mereka mungkin untuk kunci dan nama, seperti untuk header dan nama header.

permintaan HeadersInserted

Daftar header yang disisipkan untuk penanganan permintaan kustom.

requestId

ID permintaan, yang dihasilkan oleh layanan host yang mendasarinya. Untuk Application Load Balancer, ini adalah ID jejak. Untuk semua yang lain, ini adalah ID permintaan.

respon CodeSent

Kode respon dikirim dengan respon kustom.

aturan GroupId

ID dari grup aturan. Jika aturan memblokir permintaan, ID ruleGroupID untuk sama dengan ID untukterminatingRuleId.

aturan GroupList

Daftar grup aturan yang bertindak atas permintaan ini, dengan informasi kecocokan.

terminatingRule

Aturan yang mengakhiri permintaan. Jika ini ada, itu berisi informasi berikut.

tindakan

Tindakan penghentian yang AWS WAF diterapkan pada permintaan. Ini menunjukkan baik allow, block, CAPTCHA, atau challenge. ChallengeTindakan CAPTCHA dan akan berakhir ketika permintaan web tidak berisi token yang valid.

ruleId

ID aturan yang cocok dengan permintaan.

aturan MatchDetails

Informasi terperinci tentang aturan yang cocok dengan permintaan. Bidang ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

Setiap informasi tambahan yang diberikan untuk setiap aturan bervariasi menurut faktor seperti konfigurasi aturan, jenis pencocokan aturan, dan detail pertandingan. Misalnya untuk aturan dengan Challenge tindakan CAPTCHA atau, captchaResponse atau challengeResponse akan terdaftar. Jika aturan pencocokan ada dalam grup aturan dan Anda telah mengganti tindakan aturan yang dikonfigurasi, tindakan yang dikonfigurasi akan disediakan. overriddenAction

mengakhiri RuleId

ID aturan yang mengakhiri permintaan. Jika tidak ada yang mengakhiri permintaan, nilainya adalahDefault_Action.

mengakhiri RuleMatchDetails

Informasi terperinci tentang aturan penghentian yang cocok dengan permintaan. Aturan penghentian memiliki tindakan yang mengakhiri proses inspeksi terhadap permintaan web. Tindakan yang mungkin untuk aturan penghentian termasukAllow,, BlockCAPTCHA, danChallenge. Selama inspeksi permintaan web, pada aturan pertama yang cocok dengan permintaan dan yang memiliki tindakan AWS WAF penghentian, menghentikan inspeksi dan menerapkan tindakan. Permintaan web mungkin berisi ancaman lain, selain yang dilaporkan dalam log untuk aturan penghentian yang cocok.

Ini hanya diisi untuk pernyataan aturan pencocokan SQL injection dan cross-site scripting (XSS). Aturan pencocokan mungkin memerlukan kecocokan untuk lebih dari satu kriteria pemeriksaan, jadi detail kecocokan ini disediakan sebagai larik kriteria kecocokan.

mengakhiri RuleType

Jenis aturan yang mengakhiri permintaan. Nilai yang mungkin: RATE_BASED, REGULAR, GROUP, dan MANAGED_RULE_GROUP.

timestamp

Stempel waktu dalam milidetik.

uri

URI permintaan.

fragmen

Bagian dari URL yang mengikuti simbol “#”, memberikan informasi tambahan tentang sumber daya, misalnya, #section2.

webaclId

GUID paket perlindungan (web ACL).