本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
日志字段
以下列表描述了可能的日志字段。
- action
应用于请求的操作。 Allow并Block正在终止规则操作。 Count是非终止规则操作。 CAPTCHA如果请求包含有效令牌,Challenge则为非终止;如果不包含有效令牌,则为终止。
- args
-
查询字符串。
- captchaResponse
-
对请求的验证码响应,在CAPTCHA操作导致 Web 请求检查终止时填充。当请求不包含令牌或令牌无效或过期时,该CAPTCHA操作将终止 Web 请求检查。此字段包含响应代码和失败原因。
- 质询响应
-
对请求的质询响应,在Challenge操作导致 Web 请求检查终止时填充。当请求不包含令牌或令牌无效或过期时,该Challenge操作将终止 Web 请求检查。此字段包含响应代码和失败原因。
- clientIp
-
发送请求的客户端的 IP。
- country
-
请求的源国家/地区。Amazon WAF如果无法确定原产国,则会将此字段设置为
-。 - excludedRules
-
仅用于规则组规则。规则组中您排除的规则的列表。这些规则的操作设置为Count。
如果您使用覆盖规则操作选项将规则改写为计数,则此处不列出匹配项。它们被列为动作对
action,overriddenAction.- exclusionType
-
一种表示排除的规则具有操作的类型Count。
- ruleId
-
规则组中排除的规则的 ID。
- formatVersion
-
日志的格式版本。
- headers
-
标头的列表。
- httpMethod
-
请求中的 HTTP 方法。
- httpRequest
-
关于请求的元数据。
- httpSourceId
-
关联资源的 ID:
对于亚马逊 CloudFront 发行版,ID 是
distribution-idARN 语法中的:arn:partitioncloudfront::account-id:distribution/distribution-id-
对于Application Load Balancer,
load-balancer-idID 是 ARN 语法中的:arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id 对于Amazon API Gateway REST API,
api-idID 是 ARN 语法中的:arn:partition:apigateway:region::/restapis/api-id/stages/stage-name对于Amazon AppSync GraphQL API 来说,ID 是
GraphQLApiIdARN 语法中的:arn:partition:appsync:region:account-id:apis/GraphQLApiId对于 Amazon Cognito 用户池,ID 是
user-pool-idARN 语法中的:arn:partition:cognito-idp:region:account-id:userpool/user-pool-id对于Amazon App Runner服务,ID 是 ARN 语法中的:
apprunner-service-idarn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id
- httpSourceName
-
请求的源。可能
CF的值:亚马逊 CloudFront、APIGW亚马逊 Amazon API Gateway、ALBApplication Load BalancerAmazon AppSync、COGNITOIDPAmazon Cognito 和APPRUNNERApp Runner。APPSYNC - httpVersion
-
HTTP 版本。
- labels
-
Web 请求上的标签。这些标签是由用于评估请求的规则应用的。 Amazon WAF记录前 100 个标签。
- limitKey
-
表示Amazon WAF应使用哪个 IP 地址源来聚合基于速率的规则进行速率限制的请求。对于 Web 请求来源
IP,可能的值为FORWARDED_IP,对于在请求标头中转发的 IP,可能的值为。 - 极限值
-
基于速率的规则用于聚合速率限制请求的 IP 地址。如果请求包含无效的 IP 地址,则
limitvalue为INVALID。 - maxRateAllowed
-
在五分钟内允许的最大请求数,具有与所
limitKey指定的字段相同的值。如果请求数超过了maxRateAllowed并且还满足规则中指定的其他谓词,则 Amazon WAF 将触发为此规则指定的操作。 - nonTerminatingMatching规则
-
与请求匹配的非终止规则列表。
- action
-
Amazon WAF应用于请求的操作。这表示计数、验证码或挑战。当 Web 请求包含有效令牌时,CAPTCHA和Challenge是非终止的。
- OverridenAct
-
仅用于在 Web ACL 中替换了规则操作的规则组规则。这是为规则组规则配置的操作,而不是应用于请求的操作。Amazon WAF应用的操作就是
action值。 - ruleId
-
匹配请求且未终止的规则的 ID。
- ruleMatchDetails
-
有关匹配请求的规则的详细信息。此字段仅针对 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。
- 超大字段
-
Web 请求中由 Web ACL 检查且超过Amazon WAF检查限制的字段列表。如果字段过大,但 Web ACL 未对其进行检查,则此处不会列出该字段。
此列表可以包含以下零个或多个值:
REQUEST_BODYREQUEST_JSON_BODY、REQUEST_HEADERS、和REQUEST_COOKIES。有关超大字段的更多信息,请参阅检查请求正文、标题和 Cookie。 - rateBasedRuleID
-
作用于请求的基于速率的规则的 ID。如果这已终止请求,则
rateBasedRuleId的 ID 与terminatingRuleId的 ID 相同。 - rateBasedRule清单
-
对请求执行操作的基于速率的规则列表。
- rateBasedRule姓名
-
根据请求执行的基于费率的规则的名称。
- requestHeadersInserted
-
为处理自定义请求而插入的标头列表。
- requestId
-
请求的 ID,由底层主机服务生成。对于Application Load Balancer,这是跟踪 ID。对于所有其他人,这是请求 ID。
- responseCodeSent
-
使用自定义响应发送的响应代码。
- ruleGroupId
-
规则组的 ID。如果规则阻止了请求,则
ruleGroupID的 ID 与terminatingRuleId的 ID 相同。 - ruleGroupList
-
根据此请求执行操作的规则组列表,包含匹配信息。
- terminatingRule
-
终止请求的规则。如果这是非空值,则它包含以下附加字段。
- action
-
Amazon WAF应用于请求的操作。这表示允许、阻止、验证码或质疑。当 Web 请求不包含有效令牌时,CAPTCHA和Challenge操作将终止。
- OverridenAct
-
仅用于在 Web ACL 中替换了规则操作的规则组规则。这是为规则组规则配置的操作,而不是应用于请求的操作。Amazon WAF应用的操作就是
action值。 - ruleId
-
匹配请求的规则的 ID。
- ruleMatchDetails
-
有关匹配请求的规则的详细信息。此字段仅针对 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。
- terminatingRuleId
-
终止请求的规则的 ID。如果没有任何情况会终止请求,则值为
Default_Action。 - terminatingRuleMatch细节
-
有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则的可能操作包括AllowBlock、CAPTCHA、和Challenge。在检查 Web 请求期间,对于与请求匹配且具有终止操作的第一条规则,Amazon WAF停止检查并应用操作。除了在日志中报告的匹配终止规则的威胁外,Web 请求可能包含其他威胁。
这仅适用于 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。匹配规则可能需要匹配多个检查标准,因此这些匹配详细信息以匹配条件数组的形式提供。
- terminatingRuleType
-
终止请求的规则的类型。可能的值:RATE_BASED、REGULAR、GROUP 和 MANAGED_RULE_GROUP。
- timestamp
-
时间戳,以毫秒为单位。
- uri
-
请求的 URI。
- webaclId
-
Web ACL 的 GUID。