Come si attiva il filtraggio dei registri in AWS WAF?

Risoluzione

Usa il filtraggio dei registri di AWS WAF per filtrare le voci di registro in base alle azioni delle regole o alle etichette generate dalle regole durante la valutazione delle richieste. Il filtraggio dei registri consente di risparmiare sui costi di archiviazione e di Amazon Kinesis Data Firehose pubblicando solo i registri selezionati. Ad esempio, è possibile registrare solo le richieste bloccate.

Per filtrare i registri di AWS WAF, è necessario aver attivato la registrazione di AWS WAF. Per istruzioni sull'attivazione della registrazione di AWS WAF, consulta Come posso attivare la registrazione di AWS WAF e inviare i registri ad Amazon CloudWatch, Amazon S3 o Kinesis Data Firehose?

Nota: non sono previsti costi aggiuntivi per l'utilizzo del filtraggio dei registri di AWS.

Attiva il filtraggio dei registri di AWS WAF

1. Apri la console AWS WAF.
2. Per Region (Regione), seleziona la Regione AWS in cui hai creato la tua ACL Web.
   Nota: seleziona Global (Globale) se la tua ACL Web è configurata per Amazon CloudFront.
3. Seleziona la tua ACL Web.
4. Scegli Logging and Metrics (Registrazione e metriche).
5. Per Filter logs (Filtra registri), scegli Add filter (Aggiungi filtro).
6. Aggiungi una o più condizioni di filtro. Quindi, seleziona i criteri per Match all of the filter conditions (Soddisfare tutte le condizioni di filtro) o Match at least one of the filter conditions (Soddisfare almeno una delle condizioni di filtro).
7. Per Filter conditions (Condizioni di filtro), seleziona Rule Action on request (Azione regola su richiesta) o Request has label (Richiesta con etichetta).
   Per Rule Action (Azione regola), filtra in base all'azione intrapresa dalla regola, ad esempio Allow (Consenti), Block (Blocca), Count (Conteggio) o CAPTCHA.
   Per Request has label (Richiesta con etichetta), filtra in base all'etichetta aggiunta ad AWS WAF durante la valutazione delle richieste.
8. Per Filter behavior (Comportamento filtro), scegli Keep in logs (Mantieni nei registri) o Drop from logs (Elimina dai registri).
9. Scegli Default logging (comportamento di registrazione predefinito).
10. Scegli Save (Salva).

Registra solo le richieste bloccate

Per registrare solo le richieste bloccate da AWS WAF, seleziona il filtro basato su Rule Action (Azione regola) e l'azione Block (Blocca).

L'azione Blocca è un'azione di terminazione per AWS WAF. I filtri dei registri di AWS WAF controllano l'azione di terminazione della regola della voce di registro di AWS WAF. Se l'azione è Block (Blocca), la voce di registro viene filtrata e aggiunta al registro.

Registra le richieste di conteggio da un gruppo di regole

La modalità di impostazione della regola in un gruppo di regole determina se i registri vengono filtrati o meno:

• Quando l'azione per una regola in un gruppo di regole è impostata su Count (Conteggio), i registri per le richieste corrispondenti a questa regola non contengono un'azione Count per la regola. Invece, i registri di AWS WAF mostrano questa regola nei campi excludedRules, che non vengono controllati quando i registri di AWS WAF vengono filtrati per l'azione Conteggio. Ciò significa che queste richieste non vengono filtrate dal filtraggio dei registri per l'azione Count (Conteggio).
• Viene registrata la richiesta corrispondente a una regola in un gruppo di regole in cui l'azione di tale gruppo è Override to Count (Sostituisci con Conteggio). Per queste richieste, il registro di AWS WAF contiene un'azione Count (Conteggio) nel campo nonTerminatingMatchingRules che viene selezionata quando si filtra l'azione Count (Conteggio) nei registri di AWS WAF.

Nota: EXCLUDED_AS_COUNT è un tipo di azione valido per il filtraggio dei registri. Questa opzione può essere configurata utilizzando l'API PutLoggingConfiguration.