Como faço para ativar a filtragem de log no AWS WAF?

4 minuto de leitura
0

Não quero registrar todas as solicitações analisadas pela ACL da Web, mas quero registrar as solicitações bloqueadas. Como posso fazer isso no AWS WAF?

Resolução

Use a filtragem de log do AWS WAF para filtrar entradas de log com base em ações de regras ou rótulos gerados por regras ao avaliar solicitações. A filtragem de log ajuda você a economizar nos custos do Amazon Kinesis Data Firehose e de armazenamento publicando somente os logs selecionados. Por exemplo, você pode registrar apenas as solicitações bloqueadas.

Para filtrar os logs do AWS WAF, você deve ter ativado o registro em log do AWS WAF. Para obter instruções sobre como ativar o registro em log do AWS WAF, consulte Como faço para ativar o registro em log do AWS WAF e enviar logs para o Amazon CloudWatch, Amazon S3 ou Kinesis Data Firehose?

Observação: não há cobrança adicional pelo uso da filtragem de logs da AWS.

Ativar a filtragem de log do AWS WAF

  1. Abra o console do AWS WAF.
  2. Em Região, selecione a região da AWS em que você criou sua ACL da Web.
    Observação: selecione Global se a sua ACL da Web estiver configurada para o Amazon CloudFront.
  3. Selecione a ACL da Web.
  4. Escolha Logging and Metrics (Registro em log e métricas).
  5. Em Filter logs (Filtrar logs), escolha Add filter (Adicionar filtro).
  6. Adicione uma ou mais condições de filtro. Em seguida, selecione os critérios para Match all of the filter conditions (Corresponder a todas as condições do filtro) ou Match at least one of the filter conditions (Corresponder a pelo menos uma das condições do filtro).
  7. Em Filter conditions (Condições de filtro), selecione Rule Action on request (Ação de regra na solicitação) ou Request has label (Solicitação tem rótulo).
    Para Rule Action (Ação de regra), filtre com base na ação feita pela regra, como Allow (Permitir), Block, (Bloquear) Count (Contar) ou CAPTCHA.
    Para Request has label (Solicitação tem rótulo), filtre com base no rótulo adicionado ao AWS WAF ao avaliar as solicitações.
  8. Para Filter behavior (Comportamento do filtro), escolha Keep in logs o (Manter nos logs) ou Drop from logs (Excluir dos logs).
  9. Escolha o comportamento Default logging (Registro em log padrão).
  10. Escolha Salve (Salvar).

Registrar apenas as solicitações bloqueadas

Para registrar apenas as solicitações bloqueadas pelo AWS WAF, selecione a filtragem baseada em Rule Action (Ação da regra) e na ação Block (Bloquear).

A ação Block (Bloquear) é uma ação de encerramento para o AWS WAF. Os filtros de log do AWS WAF conferem a ação da regra de encerramento da entrada de log do AWS WAF. Se a ação for Block (Bloquear), a entrada de log será filtrada e adicionada ao log.

Registrar as solicitações Count de um grupo de regras

A definição da regra em um grupo de regras determina se os logs são filtrados ou não:

  • Quando a ação para uma regra em um grupo de regras é definida como Count (Contar), os logs para a solicitação que corresponde a essa regra não contêm uma ação Count (Contar) para essa regra. Em vez disso, os logs do AWS WAF mostram essa regra nos campos ExcludedRules, que não são verificados quando os logs do AWS WAF são filtrados para a ação Count (Contar). Isso significa que essas solicitações não serão filtradas pela filtragem de log para a ação Count (Contar).
  • A solicitação que corresponde a uma regra em um grupo de regras no qual a ação do grupo de regras é Override to Count (Substituir para Contar) é registrada. Para essas solicitações, o log do AWS WAF contém uma ação Count (Contar) no campo NonTerminatingMatchingRules que é verificado ao filtrar a ação Count (Contar) nos logs do AWS WAF.

Observação: EXCLUDED_AS_COUNT é um tipo de ação válido para filtragem de log. Essa opção pode ser configurada usando a API PutLoggingConfiguration.


AWS OFICIAL
AWS OFICIALAtualizada há 2 anos