将在 AWS S3 存储桶中收集的 AWS WAF 日志发送到 Microsoft Sentinel。 AWS WAF 日志是 Web 访问控制列表 (ACL) 分析流量的详细记录,对于维护 Web 应用程序的安全性和性能至关重要。
表特性
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
说明 |
| 操作 |
字符串 |
AWS WAF 采取的终止操作(ALLOW、BLOCK、CAPTCHA 或 Challenge)。 |
| 参数 |
字符串 |
请求的查询字符串参数。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| CaptchaResponse |
动态 |
请求的 CAPTCHA 操作的状态。 |
| ChallengeResponse |
动态 |
请求的安全质询的状态。 |
| ClientIp |
字符串 |
发出请求的客户端的 IP 地址。 |
| 国家/地区 |
字符串 |
请求的来源国家/地区。 |
| 排除规则 |
动态 |
排除在规则组评估之外的规则。 |
| FormatVersion |
字符串 |
AWS WAF 日志格式的版本。 |
| 标头 |
动态 |
HTTP 请求中包含的标头。 |
| HTTP方法 |
字符串 |
请求的 HTTP 方法(GET、POST 等)。 |
| HTTP请求 |
动态 |
有关 HTTP 请求的元数据。 |
| HttpSourceId |
字符串 |
相关资源(如 CloudFront 分发、负载均衡器)的 ID。 |
| HttpSourceName |
字符串 |
请求的源(如 CF、APIGW、ALB)。 |
| HttpVersion |
字符串 |
用于请求的 HTTP 版本。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Ja3Fingerprint |
字符串 |
TLS 客户端 Hello 的 JA3 指纹。 |
| 标签 |
动态 |
根据规则应用于请求的标签。 |
| 非终止匹配规则 |
动态 |
匹配但未终止请求的规则列表。 |
| OversizeFields |
动态 |
请求中超出 AWS WAF 检查限制的字段。 |
| 基于速率的规则列表 |
动态 |
应用于请求的基于速率的规则列表。 |
| 请求头已插入 |
动态 |
为自定义请求处理而插入的标头。 |
| 请求编号 (RequestId) |
字符串 |
网络请求的请求 ID。 |
| 响应代码已发送 |
整数 (int) |
发送给客户端的 HTTP 响应代码。 |
| 规则组编号 |
字符串 |
匹配的规则组的 ID。 |
| 规则组列表 |
动态 |
对请求执行操作的规则组的列表。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| 终止规则 |
动态 |
终止请求的规则。 如果存在,则包含 action、ruleId、ruleMatchDetails 以及根据规则配置、规则匹配类型和匹配细节等因素为每条规则提供的其他信息。 |
| 终止规则ID |
字符串 |
匹配的网络规则的 ID。 |
| 终止规则匹配详情 |
动态 |
终止请求的规则的详细信息。 |
| 终止规则类型 |
字符串 |
终止请求的规则的类型。 |
| TimeGenerated |
日期/时间 |
处理日志时的时间戳。 |
| 类型 |
字符串 |
表的名称 |
| Uri |
字符串 |
请求的 URI。 |
| WebAclId |
字符串 |
应用于请求的 Web ACL 的 GUID。 |