¿Cómo activo el filtrado de registros en AWS WAF?

4 minutos de lectura
0

No deseo registrar todas las solicitudes que analiza mi ACL web, pero sí quiero registrar las solicitudes bloqueadas. ¿Cómo puedo hacerlo en AWS WAF?

Resolución

Utilice el filtrado de registros de AWS WAF para filtrar las entradas de registros en función de las acciones de reglas o las etiquetas generadas por las reglas al evaluar las solicitudes. El filtrado de registros lo ayuda a ahorrar costos de almacenamiento y de Amazon Kinesis Data Firehose al publicar solo los registros que seleccione. Por ejemplo, solo puede registrar las solicitudes bloqueadas.

Para filtrar los registros de AWS WAF, debe haber activado el registro de AWS WAF. Para obtener instrucciones sobre cómo activar el registro de AWS WAF, consulte ¿Cómo activo el registro de AWS WAF y envío registros a Amazon CloudWatch, Amazon S3 o Kinesis Data Firehose?

Nota: No se aplican cargos adicionales por usar el filtrado de registros de AWS.

Activar el filtrado de registros de AWS WAF

  1. Abra la consola de AWS WAF.
  2. En Region (Región), seleccione la región de AWS en la que creó la ACL web.
    Nota: Seleccione Global si su ACL web está configurada para Amazon CloudFront.
  3. Seleccione su ACL web.
  4. Elija Logging and Metrics (Registro y métricas).
  5. Para Filter logs (Filtrar registros), elija Add filter (Agregar filtro).
  6. Agregue una o más condiciones de filtro. A continuación, seleccione los criterios para Match all of the filter conditions (Coincidir con todas las condiciones del filtro) o Match at least one of the filter conditions (Coincidir con al menos una de las condiciones del filtro).
  7. Para Filter conditions (Condiciones de filtro), seleccione Rule Action on request (Acción de regla de la solicitud) o Request has label (La solicitud tiene etiqueta).
    Para Rule Action (Acción de regla), filtre según la acción realizada por la regla, como Allow (Permitir), Block (Bloquear),Count (Contar) o CAPTCHA.
    Para Request has label (La solicitud tiene etiqueta), filtre en función de la etiqueta agregada a AWS WAF mientras se evaluaron las solicitudes.
  8. Para Filter behavior (Comportamiento del filtro), elija Keep in logs (Mantener en los registros) o Drop from logs (Eliminar de los registros).
  9. Elija el comportamiento de Default logging (Registro predeterminado).
  10. Seleccione Save (Guardar).

Registrar solo solicitudes bloqueadas

Para registrar solo las solicitudes bloqueadas por AWS WAF, seleccione el filtro en función de la Rule Action (Acción de regla) y la acción como Block (Bloquear).

La acción Bloquear es una acción de finalización para AWS WAF. Los filtros de registro de AWS WAF comprueban la acción de la regla de finalización de la entrada de registro de AWS WAF. Si la acción es Block (Bloquear), la entrada del registro se filtra y se agrega al registro.

Registrar las solicitudes de recuento de un grupo de reglas

La forma en que se establece la regla en un grupo de reglas determina si los registros se filtran o no:

  • Cuando la acción de una regla de un grupo de reglas se establece en Count (Contar), los registros de la solicitud que coincide con esta regla no contienen una acción Count (Contar) para esta regla. En cambio, los registros de AWS WAF muestran esta regla en los campos excludedRules, que no se comprueban cuando se filtran los registros de AWS WAF para la acción Contar. Esto significa que estas solicitudes no se filtran mediante el filtrado de registros para la acción Count (Contar).
  • Se registra la solicitud que coincide con una regla de un grupo de reglas en el que la acción del grupo de reglas es Override to Count (Anular recuento). Para estas solicitudes, el registro de AWS WAF contiene una acción Count (Contar) en el campo nonTerminatingMatchingRules que se marca al filtrar la acción Count (Contar) en los registros de AWS WAF.

Nota: EXCLUDED_AS_COUNT es un tipo de acción válido para el filtrado de registros. Esta opción se puede configurar mediante la API PutLoggingConfiguration.


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años