如何在 AWS WAF 中開啟日誌篩選？

解析度

評估請求時，請使用 AWS WAF 日誌篩選，根據規則動作或規則產生的標籤篩選日誌項目。日誌篩選透過發佈您選取的日誌，協助您節省 Amazon Kinesis Data Firehose 及儲存成本。例如，您可以只記錄封鎖的請求。

若要篩選 AWS WAF 日誌，您必須啟用 AWS WAF 記錄日誌。如需啟用 AWS WAF 記錄日誌的相關資訊，請參閱 如何開啟 AWS WAF 記錄日誌並將日誌傳送到 Amazon CloudWatch、Amazon S3 或 Kinesis Data Firehose？

**注意：**使用 AWS 日誌篩選無需額外付費。

開啟 AWS WAF 日誌篩選

1. 開啟 AWS WAF 主控台。
2. 針對 Region (區域)，選取您在其中建立 Web ACL 的 AWS 區域。
   注意：如果您的網路 ACL 是針對 Amazon CloudFront 所設定，請選取全域。
3. 選取您的 Web ACL。
4. 選擇 Logging and Metrics (記錄日誌和指標)。
5. 針對 Filter logs (篩選日誌)，請選擇 Add filter (新增篩選條件)。
6. 新增一個或多個篩選條件。然後，請選取標準為 Match all of the filter conditions (符合所有篩選條件) 或 Match at least one of the filter conditions (符合至少一個篩選條件)。
7. 針對 Filter conditions (篩選條件)，請選取 Rule Action on request (請求的規則動作) 或 Request has label (有標籤的請求)。
   針對 Rule Action (規則動作)，請根據規則採取的動作進行篩選，例如允許、封鎖、計數或 CAPTCHA。
   針對 Request has label (有標籤的請求)，請在評估請求時根據新增到 AWS WAF 的標籤進行篩選。
8. 針對 Filter behavior (篩選行為)，請選擇 Keep in logs (保留在日誌中) 或 Drop from logs (從日誌中刪除)。
9. 請選擇 Default logging (預設記錄日誌) 行為。
10. 選擇 Save (儲存)。

僅記錄封鎖的請求

若只要記錄 AWS WAF 封鎖的請求，請選取根據規則動作的篩選，並設為 Block (封鎖)。

封鎖是 AWS WAF 的終止動作。AWS WAF 日誌篩選條件會檢查 AWS WAF 日誌項目的終止規則動作。如果動作為封鎖，則會篩選日誌項目並新增至日誌。

記錄來自規則群組的計數請求

規則群組中規則的設定方式會決定日誌是否篩選：

• 規則群組中規則的動作設定為計數時，與此規則相符的請求日誌不會包含此規則的計數動作。反之，AWS WAF 日誌會在排除規則欄位下顯示此規則，當 AWS WAF 日誌為計數動作篩選時，不會檢查這些規則。這表示這些請求不會由計數動作的日誌篩選條件來篩選。
• 規則群組動作為覆寫至計數的規則群組中擁有規則，符合該規則的請求會被記錄。針對這些請求，AWS WAF 日誌在非終止比對規則欄位中包含計數動作，篩選 AWS WAF 日誌中的計數動作時，該動作會受檢查。

**注意：**EXCLUDED_AS_COUNT 是有效的日誌篩選動作類型。可以使用 PutLoggingConfiguration API 設定此選項。

---