通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

AWSWAF

AWS WAF 日志(在 AWS S3 存储桶中收集)到 Microsoft Sentinel。 AWS WAF 日志是 Web 访问控制列表 (ACL) 分析流量的详细记录,对于维护 Web 应用程序的安全性和性能至关重要。

表属性

属性
资源类型 -
类别 安全性
解决 方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型​​ 说明
行动 字符串 AWS WAF(ALLOW、BLOCK、CAPTCHA 或 Challenge)采取的终止操作。
参数 字符串 请求的查询字符串参数。
_BilledSize(账单大小) real 记录大小(字节)
CaptchaResponse 动态的 请求的 CAPTCHA 操作的状态。
ChallengeResponse 动态的 请求的安全质询的状态。
ClientIp 字符串 发出请求的客户端的 IP 地址。
国家/地区 字符串 请求的来源国家/地区。
ExcludedRules 动态的 规则组中不进行评估的规则。
FormatVersion 字符串 AWS WAF 日志格式的版本。
标头 动态的 HTTP 请求中包含的标头。
HTTP方法 字符串 请求的 HTTP 方法(GET、POST 等)。
HTTP请求 动态的 有关 HTTP 请求的元数据。
HttpSourceId 字符串 相关资源(如 CloudFront 分发、负载均衡器)的 ID。
HttpSourceName 字符串 请求的源(如 CF、APIGW、ALB)。
HttpVersion 字符串 用于请求的 HTTP 版本。
_IsBillable 字符串 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
Ja3Fingerprint 字符串 TLS 客户端 Hello 的 JA3 指纹。
标签 动态的 按规则应用于请求的标签。
NonTerminatingMatchingRules 动态的 匹配但未终止请求的规则列表。
OversizeFields 动态的 请求中超出 AWS WAF 检查限制的字段。
RateBasedRuleList 动态的 应用于请求的基于速率的规则列表。
RequestHeadersInserted 动态的 为自定义请求处理而插入的标头。
请求编号 (RequestId) 字符串 网络请求的请求 ID。
ResponseCodeSent 整数 (int) 发送给客户端的 HTTP 响应代码。
规则组编号 字符串 匹配的规则组的 ID。
RuleGroupList 动态的 已处理请求的规则组的列表。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(直接连接或 Operations Manager)、适用于所有 Linux 代理的 Linux 和适用于 Azure 诊断的 Azure
租户ID (TenantId) 字符串 Log Analytics 工作区 ID
TerminatingRule 动态的 终止请求的规则。 如果存在,则它包含 action、ruleId 和 ruleMatchDetails,并且为每个规则提供的任何其他信息会因规则配置、规则匹配类型和匹配的详细信息等因素而异。
TerminatingRuleId 字符串 匹配的网络规则的 ID。
TerminatingRuleMatchDetails 动态的 终止请求的规则的详细信息。
TerminatingRuleType 字符串 终止请求的规则的类型。
TimeGenerated datetime 处理日志时的时间戳。
类型​​ 字符串 表的名称
Uri 字符串 请求的 URI。
WebAclId 字符串 应用于请求的 Web ACL 的 GUID。