AWSWAF
将在 AWS S3 存储桶中收集的 AWS WAF 日志发送到 Microsoft Sentinel。 AWS WAF 日志是 Web 访问控制列表 (ACL) 分析流量的详细记录,对于维护 Web 应用程序的安全性和性能至关重要。
表特性
| Attribute |
值 |
| 资源类型 |
- |
| 类别 |
安全性 |
| 解决方案 |
SecurityInsights |
| 基本日志 |
否 |
| 引入时转换 |
否 |
| 示例查询 |
- |
列
| 列 |
类型 |
说明 |
| 操作 |
string |
AWS WAF 采取的终止操作(ALLOW、BLOCK、CAPTCHA 或 Challenge)。 |
| 参数 |
string |
请求的查询字符串参数。 |
| _BilledSize |
real |
记录大小(字节) |
| CaptchaResponse |
动态 |
请求的 CAPTCHA 操作的状态。 |
| ChallengeResponse |
动态 |
请求的安全质询的状态。 |
| ClientIp |
string |
发出请求的客户端的 IP 地址。 |
| 国家/地区 |
string |
请求的来源国家/地区。 |
| ExcludedRules |
动态 |
排除在规则组评估之外的规则。 |
| FormatVersion |
string |
AWS WAF 日志格式的版本。 |
| 标头 |
动态 |
HTTP 请求中包含的标头。 |
| HttpMethod |
string |
请求的 HTTP 方法(GET、POST 等)。 |
| HttpRequest |
动态 |
有关 HTTP 请求的元数据。 |
| HttpSourceId |
string |
相关资源(如 CloudFront 分发、负载均衡器)的 ID。 |
| HttpSourceName |
string |
请求的源(如 CF、APIGW、ALB)。 |
| HttpVersion |
string |
用于请求的 HTTP 版本。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Ja3Fingerprint |
string |
TLS 客户端 Hello 的 JA3 指纹。 |
| 标签 |
动态 |
根据规则应用于请求的标签。 |
| NonTerminatingMatchingRules |
动态 |
匹配但未终止请求的规则列表。 |
| OversizeFields |
动态 |
请求中超出 AWS WAF 检查限制的字段。 |
| RateBasedRuleList |
动态 |
应用于请求的基于速率的规则列表。 |
| RequestHeadersInserted |
动态 |
为自定义请求处理而插入的标头。 |
| RequestId |
string |
网络请求的请求 ID。 |
| ResponseCodeSent |
int |
发送给客户端的 HTTP 响应代码。 |
| RuleGroupId |
string |
匹配的规则组的 ID。 |
| RuleGroupList |
动态 |
对请求执行操作的规则组的列表。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TenantId |
string |
Log Analytics 工作区 ID |
| TerminatingRule |
动态 |
终止请求的规则。 如果存在,则包含 action、ruleId、ruleMatchDetails 以及根据规则配置、规则匹配类型和匹配细节等因素为每条规则提供的其他信息。 |
| TerminatingRuleId |
string |
匹配的网络规则的 ID。 |
| TerminatingRuleMatchDetails |
动态 |
终止请求的规则的详细信息。 |
| TerminatingRuleType |
string |
终止请求的规则的类型。 |
| TimeGenerated |
datetime |
处理日志时的时间戳。 |
| 类型 |
字符串 |
表的名称 |
| Uri |
string |
请求的 URI。 |
| WebAclId |
string |
应用于请求的 Web ACL 的 GUID。 |