Campos de registro para el tráfico del paquete de protección (ACL web)

En la siguiente lista se describen los posibles campos del registro.

acción

Esta es la acción de finalización que AWS WAF aplicó a la solicitud. Esto indica permitir, bloquear, CAPTCHA o desafío. Las acciones CAPTCHA y Challenge son de finalización cuando la solicitud web no contiene un token válido.

args

La cadena de consulta.

captchaResponse

El estado de la acción del CAPTCHA para la solicitud se rellena cuando se aplica una acción CAPTCHA a la solicitud. Este campo se rellena para cualquier acción CAPTCHA, ya sea de terminación o no. Si en una solicitud se aplica la acción CAPTCHA varias veces, este campo se rellena desde la última vez que se aplicó la acción.

La acción CAPTCHA finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha vencido. Si la acción CAPTCHA está terminada, este campo incluye un código de respuesta y un motivo de error. Si la acción no está terminada, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción terminada y una que no lo está, puede filtrar para ver un atributo failureReason que no esté vacío en este campo.

cfDistributionTenantId

El identificador del inquilino de distribución de CloudFront asociado a la solicitud web. Este campo es opcional y solo se aplica a los paquetes de protección (ACL web) asociados a los arrendatarios de distribución de CloudFront.

challengeResponse

El estado de la acción de desafío para la solicitud se rellena cuando se aplica una acción Challenge a la solicitud. Este campo se rellena para cualquier acción Challenge, ya sea de terminación o no. Si en una solicitud se aplica la acción Challenge varias veces, este campo se rellena desde la última vez que se aplicó la acción.

La acción Challenge finaliza la inspección de la solicitud web cuando la solicitud no incluye un token o si el token no es válido o ha vencido. Si la acción Challenge está terminada, este campo incluye un código de respuesta y un motivo de error. Si la acción no está terminada, este campo incluye una marca de tiempo de resolución. Para diferenciar entre una acción terminada y una que no lo está, puede filtrar para ver un atributo failureReason que no esté vacío en este campo.

clientAsn

El número de sistema autónomo (ASN) asociado a la dirección IP del origen de la solicitud web.

nota

clientAsn se guarda en los registros de AWS WAF solo cuando se usa una instrucción de coincidencia de ASN. De lo contrario, este campo no se registra.

clientIp

La dirección IP del cliente que envía la solicitud.

country

El país de origen de la solicitud. Si AWS WAF no puede determinar el país de origen, establece este campo en -.

country

El país de origen de la solicitud. Si AWS WAF no puede determinar el país de origen, establece este campo en -.

excludedRules

Se usa solo para reglas del grupo de reglas. La lista de reglas del grupo de reglas que ha excluido. La acción para estas reglas se establece en Count.

Si anula una regla para contabilizarla mediante la opción de acción de anular regla, las coincidencias no se muestran aquí. Se muestran como parejas de acción action y overriddenAction.

exclusionType: Un tipo que indica que la regla excluida tiene la acción Count.
ruleId: El ID de la regla del grupo de reglas que se ha excluido.

formatVersion

La versión de formato para el registro.

forwardedAsn

El número de sistema autónomo (ASN) asociado a la dirección IP de la entidad que reenvió la solicitud web.

headers

La lista de encabezados.

httpMethod

El método HTTP en la solicitud.

httpRequest

Los metadatos sobre la solicitud.

httpSourceId

El identificador del recurso asociado:

En el caso de una distribución de Amazon CloudFront, el identificador corresponde al distribution-id en la sintaxis del ARN:

arn:partitioncloudfront::account-id:distribution/distribution-id
En el caso de un Equilibrador de carga de aplicación, el identificador corresponde al load-balancer-id en la sintaxis del ARN:

arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id
En el caso de una API de REST de Amazon API Gateway, el identificador corresponde al api-id en la sintaxis del ARN:

arn:partition:apigateway:region::/restapis/api-id/stages/stage-name
Para una API de GraphQL de AWS AppSync, el identificador corresponde al GraphQLApiId en la sintaxis del ARN:

arn:partition:appsync:region:account-id:apis/GraphQLApiId
En el caso de un grupo de usuarios de Amazon Cognito, el identificador corresponde al user-pool-id en la sintaxis del ARN:

arn:partition:cognito-idp:region:account-id:userpool/user-pool-id
Para un servicio de AWS App Runner, el identificador corresponde al apprunner-service-id en la sintaxis del ARN:

arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id

httpSourceName

El origen de la solicitud. Valores posibles: CF para Amazon CloudFront, APIGW para Amazon API Gateway, ALB para el equilibrador de carga de aplicación, APPSYNC para AWS AppSync, COGNITOIDP para Amazon Cognito, APPRUNNER para App Runner y VERIFIED_ACCESS para el acceso verificado.

httpVersion

La versión de HTTP.

ja3Fingerprint

La huella digital JA3 de la solicitud.

nota

La inspección de huellas digitales JA3 solo está disponible para las distribuciones de Amazon CloudFront y los equilibradores de carga de aplicación.

La huella digital JA3 es un hash de 32 caracteres derivado del saludo del cliente TLS de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de saludo del cliente TLS para el cálculo.

Este valor se proporciona al configurar una coincidencia de huella digital JA3 en las reglas del paquete de protección (ACL web). Para obtener información sobre cómo crear una coincidencia con la huella digital JA3, consulte Huella digital JA3 en la Componentes de la solicitud en AWS WAF para una instrucción de reglas.

ja4Fingerprint

La huella digital JA4 de la solicitud.

nota

La inspección de huellas digitales JA4 solo está disponible para las distribuciones de Amazon CloudFront y los equilibradores de carga de aplicación.

La huella digital JA4 es un hash de 36 caracteres derivado del saludo del cliente TLS de una solicitud entrante. Esta huella digital sirve como identificador único para la configuración de TLS del cliente. AWS WAF calcula y registra esta huella digital para cada solicitud que contenga suficiente información de saludo del cliente TLS para el cálculo.

Este valor se proporciona al configurar una coincidencia de huella digital JA4 en las reglas del paquete de protección (ACL web). Para obtener información sobre cómo crear una coincidencia con la huella digital JA4, consulte Huella digital JA4 en la Componentes de la solicitud en AWS WAF para una instrucción de reglas.

etiquetas

Las etiquetas de la solicitud web. Estas etiquetas se aplicaban mediante reglas que se utilizaban para evaluar la solicitud. AWS WAF registra las primeras 100 etiquetas.

nonTerminatingMatchingRules

La lista de reglas de no terminación que coincidieron con la solicitud. Cada elemento en la lista contiene la siguiente información.

acción: La acción que AWS WAF aplicó a la solicitud. Esto indica el recuento, el CAPTCHA o el desafío. Las CAPTCHA y Challenge son de no finalización cuando la solicitud web contiene un token válido.
ruleId: El ID de la regla que coincide con la solicitud y no era de finalización.
ruleMatchDetails: Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

La información adicional proporcionada para cada regla varía en función de factores como la configuración de la regla, el tipo de coincidencia de la regla y los detalles de la coincidencia. Por ejemplo, en el caso de las reglas con una acción CAPTCHA o Challenge, se mostrará la captchaResponse o challengeResponse. Si la regla coincidente está en un grupo de reglas y anuló la acción de regla configurada, la acción configurada aparecerá en overriddenAction.

oversizeFields

La lista de campos de la solicitud web que inspeccionó el paquete de protección (ACL web) y que superan el límite de inspección de AWS WAF. Si un campo es demasiado grande pero el paquete de protección (ACL web) no lo inspecciona, no aparecerá aquí.

Esta lista puede contener cero o más de los siguientes valores: REQUEST_BODY, REQUEST_JSON_BODY, REQUEST_HEADERS y REQUEST_COOKIES. Para obtener más información acerca de los campos sobredimensionados, consulte Componentes de solicitudes web con tamaño excesivo en AWS WAF.

rateBasedRuleList

La lista de reglas basadas en frecuencia que actuaron en la solicitud. Para obtener información acerca de las reglas basadas en tasas, consulte Uso de instrucciones de regla basada en tasas en AWS WAF.

rateBasedRuleId: El ID de la regla basada en frecuencia que actuó en la solicitud. Si esto ha terminado la solicitud, el ID de rateBasedRuleId es el mismo que el ID de terminatingRuleId.
rateBasedRuleName: El nombre de la regla basada en tasas que actuó en la solicitud.
limitKey: El tipo de agregación que utiliza la regla. Los valores posibles son IP para el origen de la solicitud web, FORWARDED_IP para una IP reenviada en un encabezado de la solicitud, CUSTOMKEYS para la configuración personalizada de las claves agregadas y CONSTANT para el recuento conjunto de todas las solicitudes, sin agregación.
limitValue: Se usa solo cuando se limita la tasa a un solo tipo de dirección IP. Si una solicitud contiene una dirección IP que no es válida, el limitvalue es INVALID.
maxRateAllowed: El número máximo de solicitudes permitido en el período especificado para una instancia de agregación específica. La instancia de agregación se define mediante la limitKey sumado a cualquier especificación clave adicional que haya proporcionado en la configuración de la regla basada en tasas.
evaluationWindowSec: El tiempo que incluye AWS WAF su recuento de solicitudes, en segundos.
customValues: Valores únicos identificados por la regla basada en tasas de la solicitud. En el caso de los valores de cadena, los registros imprimen los primeros 32 caracteres del valor de cadena. Según el tipo de clave, estos valores pueden ser solo para una clave, como para un método HTTP o una cadena de consulta, o pueden ser para una clave y un nombre, como para el encabezado y el nombre del encabezado.

requestHeadersInserted

La lista de encabezados insertados para la gestión personalizada de las solicitudes.

ID de solicitud

El ID de la solicitud, que es generado por el servicio de alojamiento subyacente. Para el equilibrador de carga de aplicación, este es el identificador de rastro. Para el resto, este el el identificador de la solicitud.

responseCodeSent

El código de respuesta enviado con una respuesta personalizada.

ruleGroupId

El ID del grupo de reglas. Si la regla bloqueó la solicitud, el ID de ruleGroupID es el mismo que el ID de terminatingRuleId.

ruleGroupList

La lista de grupos de reglas que actuaron en esta solicitud, que coinciden con la información.

terminatingRule

La regla que terminó la solicitud. Si esta regla está presente, contiene la siguiente información.

acción: Esta es la acción de finalización que AWS WAF aplicó a la solicitud. Esto indica permitir, bloquear, CAPTCHA o desafío. Las acciones CAPTCHA y Challenge son de finalización cuando la solicitud web no contiene un token válido.
ruleId: El identificador de la regla que coincide con la solicitud.
ruleMatchDetails: Información detallada sobre la regla que coincide con la solicitud. Este campo solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). Una regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

terminatingRuleId

El ID de la regla que terminó la solicitud. Si nada termina la solicitud, el valor es Default_Action.

terminatingRuleMatchDetails

Información detallada sobre la regla de finalización que coincide con la solicitud. Una regla de finalización tiene una acción que finaliza el proceso de inspección ante una solicitud web. Entre las posibles acciones de una regla de finalización se incluyen Allow, Block, CAPTCHA y Challenge. Durante la inspección de una solicitud web, en la primera regla que coincida con la solicitud y que tenga una acción de finalización, AWS WAF detiene la inspección y aplica la acción. La solicitud web puede contener otras amenazas, además de la que aparece en el registro de la regla de finalización coincidente.

Esto solo se rellena para las instrucciones de reglas de coincidencia de inyección de código SQL y scripting entre sitios (XSS). La regla de coincidencia puede requerir una coincidencia para más de un criterio de inspección, por lo que estos detalles de coincidencia se proporcionan como una matriz de criterios de coincidencia.

terminatingRuleType

El tipo de regla que terminó la solicitud. Valores posibles: RATE_BASED, REGULAR, GROUP y MANAGED_RULE_GROUP.

marca de tiempo

La marca de tiempo en milisegundos.

uri

El URI de la solicitud.

fragment

La parte de una URL que sigue al símbolo «#» y que proporciona información adicional sobre el recurso, por ejemplo, #section2.

webaclId

El GUID del paquete de protección (ACL web).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo encontrar los registros de su paquete de protección (ACL web)

Ejemplos de registro