Imperva Cloud WAF 日志,其中包含来自 Incapsula WAF 的 Web 应用程序防火墙事件和安全数据,通过 S3 引入 SQS 通知。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
说明 |
| Act |
字符串 |
对请求执行的操作,例如“REQ_PASSED”、“REQ_BLOCKED”。 |
| AdditionalReqHeaders |
字符串 |
捕获的其他 HTTP 请求标头。 |
| AdditionalResHeaders |
字符串 |
捕获的其他 HTTP 响应标头。 |
| AdditionalRuleInfo |
字符串 |
有关触发的 WAF 规则的其他信息。 |
| 应用程序 |
字符串 |
应用程序协议,例如“HTTPS”、“HTTP”。 |
| AttackName |
字符串 |
检测到的攻击或事件分类的名称。 |
| AttackSeverity |
字符串 |
攻击的严重性级别从 0 到 10。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| CapSupport |
字符串 |
客户端功能支持用于高级检测的标志。 |
| CCode |
字符串 |
请求来源的 ISO 国家/地区代码。 |
| CiCode |
字符串 |
请求来源的城市代码。 |
| ClApp |
字符串 |
分类的客户端应用程序类型。 |
| ClAppSig |
字符串 |
用于机器人检测的客户端应用程序签名。 |
| Cn1 |
字符串 |
HTTP 响应状态代码。 |
| CoSupport |
字符串 |
客户端 Cookie 支持指示器。 |
| Cpt |
字符串 |
请求的客户端端口号。 |
| 客户 |
字符串 |
Imperva 客户帐户名称。 |
| DeliveryRuleDetails |
字符串 |
有关应用于请求的内容传送规则的详细信息。 |
| DeviceExternalId |
字符串 |
WAF 中的外部设备标识符。 |
| DeviceFacility |
字符串 |
生成事件的设施或模块,例如“waf”。 |
| DeviceVersion |
字符串 |
WAF 设备固件的版本。 |
| 朝鲜 |
字符串 |
目标进程名称。 |
| 结束 |
字符串 |
以 Unix 纪元毫秒为单位的事件结束时间戳。 |
| EventProduct |
字符串 |
生成事件的产品名称,例如“Incapsula WAF”。 |
| 事件类型 |
字符串 |
事件类型,例如“Normal”、“SQL Injection”。 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 始终为“Imperva”。 |
| FileId |
字符串 |
日志文件的唯一标识符。 |
| 文件权限 |
字符串 |
与事件关联的文件权限信息。 |
| FileType |
字符串 |
请求中涉及的文件类型。 |
| In |
字符串 |
传入请求的大小(以字节为单位)。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当_IsBillable为 false 引入时,不会向你Azure帐户计费 |
| JavascriptSupport |
字符串 |
客户端是否支持 JavaScript 执行。 |
| 纬度 |
字符串 |
请求源的地理纬度。 |
| LogVersion |
字符串 |
CEF 日志格式版本标识符。 |
| 经度 |
字符串 |
请求源的地理经度。 |
| PostBody |
字符串 |
HTTP POST 正文内容(如果已捕获)。 |
| QStr |
字符串 |
URL 查询字符串参数。 |
| 参考 |
字符串 |
HTTP 引用器标头值。 |
| 请求 |
字符串 |
请求的 URL 路径。 |
| RequestClientApplication |
字符串 |
请求的客户端应用程序或用户代理字符串。 |
| 请求方式 |
字符串 |
HTTP 请求方法,例如 GET、POST、PUT、DELETE。 |
| 规则名称 |
字符串 |
与请求匹配的 WAF 规则的名称。 |
| SignatureId |
字符串 |
触发的安全签名的唯一标识符。 |
| Sip |
字符串 |
处理请求的服务器 IP 地址。 |
| SiteId |
字符串 |
Imperva 中受保护站点的唯一标识符。 |
| SiteTag |
字符串 |
与受保护站点关联的标记。 |
| 源服务名称 |
字符串 |
受保护站点的主机名或服务名称。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,Windows 代理的 OpsManager、直接连接或Operations Manager、所有 Linux 代理的 Linux,或用于 Azure 诊断 的 Azure |
| Spt |
字符串 |
服务器端口号。 |
| Src |
字符串 |
发出请求的客户端的源 IP 地址。 |
| 启动 |
字符串 |
以 Unix 纪元毫秒为单位的事件开始时间戳。 |
| Suid |
字符串 |
与请求关联的会话用户标识符或电子邮件。 |
| 标记 |
字符串 |
与事件关联的标记,例如攻击分类标签。 |
| 租户ID |
字符串 |
Log Analytics工作区 ID |
| TimeGenerated |
日期/时间 |
事件发生时的时间戳,派生自 CEF Start 字段。 |
| 类型 |
字符串 |
表的名称 |
| Ver |
字符串 |
使用的 TLS 或 HTTP 协议版本。 |
| Vid |
字符串 |
Imperva 分配用于跟踪的访问者标识符。 |
| Xff |
字符串 |
X-Forwarded-For 标头值,指示代理背后的原始客户端 IP。 |