¿Cómo puedo desinfectar los registros de AWS WAF?

6 minutos de lectura

Quiero registrar las solicitudes bloqueadas en AWS WAF. Sin embargo, no quiero registrar todas las solicitudes que analiza mi paquete de protección.

Descripción corta

Con el filtrado de registros de AWS WAF, puedes filtrar las solicitudes web registradas para conservar solo la información que deseas analizar. Puedes especificar si las solicitudes web se registran o se descartan del registro después de la inspección. Esto ahorra en los costes de entrega y almacenamiento de registros, ya que AWS WAF solo publica los registros que necesitas.

Para filtrar los registros de AWS WAF, primero activa el registro de AWS WAF.

Para desinfectar tus registros, implementa la disociación de campos y el filtrado de registros.

Disociación de campos: Disocia las partes de la solicitud que quieras mantener fuera de los registros. Puedes omitir los siguientes campos de tus registros: Ruta URI, cadena de consulta, encabezado único y método HTTP. Los campos disociados aparecen como DISOCIADOS en los registros.

Filtrado de registros: Especifica las condiciones de filtro para filtrar las entradas de registro en función de las acciones de las reglas o las etiquetas generadas por las reglas durante la evaluación. Para filtrar los registros de AWS WAF para todas las solicitudes que contienen una etiqueta, debes incluir todas las etiquetas que utilizan un nombre de etiqueta totalmente cualificado. Usa el siguiente formato: awswaf:account_number:webacl:webacl_name:namespace:label name.

Nota: El uso del filtrado de registros de AWS no conlleva ningún cargo adicional. Sin embargo, se aplican cargos a los destinos de registro. Esto incluye Amazon CloudWatch, los buckets de Amazon Simple Storage Service (Amazon S3) y las secuencias de entrega de Amazon Data Firehose.

Uso de la consola de AWS WAF para activar el filtrado de registros de AWS WAF

Abre la consola de AWS WAF.
En Región, selecciona la región de AWS en la que hayas creado el paquete de protección.
En el panel de navegación, elige Paquetes de protección y recursos.
En el lado derecho del paquete de protección, selecciona el icono situado junto al nombre de la región para elegir el paquete de protección.
En el paquete de protección seleccionado, selecciona Registro.
Selecciona Ver y editar junto a Registro para ver o modificar la configuración de registro asociada a este paquete de protección.
En Configuración de protección de datos, selecciona Activar.
En Ámbito, selecciona Solo destino de registro.
Elige el tipo de destino y el grupo de registro de Cloudwatch.
En Campos disociados, selecciona los campos que desees omitir de los registros.
Nota: Especifica encabezados personalizados si deseas disociar un solo campo de encabezado.
En Condiciones de filtrado, selecciona Acción de regla a petición o La solicitud tiene etiqueta.
En Acción de regla a petición, selecciona una acción de regla por la que filtrar los registros de AWS WAF. Por ejemplo: Permitir, Bloquear, Contar, CAPTCHA o Desafiar.
En La solicitud tiene etiqueta, introduce la etiqueta agregada a AWS WAF al evaluar las solicitudes.
En Comportamiento de los filtros, elige Conservar en los registros o Eliminar de los registros.
En Conservar en los registros o Eliminar de los registros, selecciona el comportamiento de registro predeterminado.
Selecciona Guardar.

Uso de la interfaz de la línea de comandos de AWS (AWS CLI) para activar el filtrado de registros de AWS WAF

Nota: Si se muestran errores al ejecutar comandos de la AWS CLI, consulta Solución de problemas de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Para obtener la configuración de registro actual, ejecuta get-logging-configuration:

aws wafv2 get-logging-configuration --region region--resource-arn arn:aws:wafv2:region:account_number:regional/webacl/webacl_name/webacl_id > waf.json

Nota: Sustituye region por la región de AWS de tu ACL web, resource-arn por el nombre de recurso de Amazon (ARN) de tu ACL web y webacl_name por el nombre de tu ACL web.

Abre el archivo de configuración de registro y, a continuación, agrega los siguientes filtros JSON:

"LoggingFilter": {
    "DefaultBehavior": "string",
    "Filters": [
    {
        "Behavior": "string",
        "Conditions": [
            {
                "ActionCondition": {
                "Action": "string"
                },
                "LabelNameCondition": {
                "LabelName": "string"
                }
            }
        ],
        "Requirement": "string"
    }
]
}

Nota: Sustituye los filtros y las acciones de filtrado por los filtros necesarios.

Para actualizar la configuración de registro, ejecuta put-logging-configuration:

aws wafv2 put-logging-configuration --region region --cli-input-json file://waf.json

Nota: Sustituye region por la región de tu ACL web.

Registro de las solicitudes bloqueadas únicamente

Para registrar solo las solicitudes bloqueadas por AWS WAF, selecciona el filtrado según la **acción de la regla ** y, a continuación, define la acción en Bloquear. El bloqueo es una acción de terminación en AWS WAF. Los filtros de registro de AWS WAF comprueban la acción de la regla de terminación de las entradas de registro de AWS WAF. Si la acción es Bloquear, los filtros de registro de AWS WAF agregan la entrada al registro.

Registro de las solicitudes de recuento de un grupo de reglas

La forma en que se establece una regla en un grupo de reglas determina si los registros filtran las solicitudes de recuento.

**La acción para una regla de un grupo de reglas se establece en Contar:**Los registros de la solicitud que coincide con esta regla no contienen una acción Contar. En su lugar, los registros de AWS WAF muestran esta regla en el campo excludedRules. AWS WAF no marca este campo; los registros de AWS WAF se filtran según el recuento. Esto significa que estas solicitudes no se filtrarán mediante el filtrado de registros de la acción Contar.

Una regla con la acción no finalizante Contar se inspecciona junto con una acción de regla finalizante, como Permitir o Bloquear: Los registros de AWS WAF incluyen estas solicitudes en los registros filtrados por la acción Contar.

La acción para una regla de un grupo de reglas se establece en Anular para contar: Para estas solicitudes, el registro de AWS WAF contiene una acción Contar en el campo nonTerminatingMatchingRules. Los filtros de registro de AWS WAF comprueban este campo, por lo que la acción Contar filtra la regla.

Nota: EXCLUDED_AS_COUNT es un tipo de acción válido para el filtrado de registros. Ejecuta el comando put-logging-configuration para configurar esta acción.

Información relacionada

LoggingFilter

Uso de la experiencia de consola actualizada

Registro del tráfico del paquete de protección AWS WAF o ACL web

Temas: Security, Identity, & Compliance
Etiquetas: AWS WAF
Idioma: Español

OFICIAL DE AWSActualizada hace un año

Sin comentarios

Contenido relevante

Integración instancias EC2 al WAF AWS
Sergio Garay
preguntada hace 3 días
Seguridad entre dos instancias de EC2
cesar_hernandez
preguntada hace 9 meses
Problema con el registro de mi cuenta.
Brayan Leonardo Alvarez Reyes
preguntada hace un año
Problema de cors en cloudfront
Jorge
preguntada hace un año
Como solucionar el error: Supplied Policy document is breaching Cloudwatch Logs policy length limit.
Respuesta aceptada
Enrique
preguntada hace un año
¿Cómo analizo los registros de AWS WAF en CloudWatch?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo activar los registros de AWS WAF y enviarlos a CloudWatch, Amazon S3 o Firehose?
OFICIAL DE AWSActualizada hace un año
¿Cómo se formatean las métricas y los registros para la acción de la regla de recuento en AWS WAF?
OFICIAL DE AWSActualizada hace 4 años
¿Cómo puedo permitir las solicitudes de un bot bloqueado por un grupo de reglas de Bot Control de AWS WAF?
OFICIAL DE AWSActualizada hace un año