Veröffentlicht am: Aug 31, 2018

AWS WAF unterstützt nun die vollständige Protokollierung aller vom Service untersuchten Web-Anfragen. Diese Protokolle können zu Compliance- und Prüfzwecken in Amazon S3 gespeichert und zu Debugging- und Forensik-Zwecken verwendet werden. Die Protokolle vermitteln ein besseres Verständnis dafür, weshalb bestimmte Regeln ausgelöst und bestimmte Web-Anfragen blockiert werden. Die Protokolle lassen sich auch in vorhandene SIEM- und Protokollanalysetools integrieren. 

Die AWS WAF-Protokolle enthalten nun zu jeder Web-Anfrage HTTP/S-Header im Rohformat mit Informationen zu den ausgelösten AWS WAF-Regeln. Diese Informationen sind bei der Fehlerdiagnose benutzerdefinierter und von AWS verwalteter WAF-Regeln hilfreich. Die Protokolle werden über Amazon Kinesis Data Firehose im JSON-Format bereitgestellt.

Die Aktivierung der vollständigen Protokolle von AWS WAF erfolgt in zwei Schritten. Zunächst erstellen Sie in der Amazon Kinesis-Konsole eine Amazon Kinesis Data Firehose-Instance für die relevanten Konten. Im Zuge dieser Konfiguration wählen Sie das Ziel für die Daten aus Amazon S3, Amazon ElasticSearch oder Amazon RedShift aus. Kunden können auch (ein) Drittanbietertool(s) von Splunk oder Sumo Logic für eine erweiterte SIEM-Lösung nutzen, mit der ihnen eine Plattform für erweiterte Überwachungsfunktionen zur Verfügung steht. Anschließend aktivieren Sie die Protokolle in der AWS WAF-Konsole und wählen die zuvor erstellte Firehose-Instance aus. Bei der Konfiguration besteht auch die Möglichkeit, einzelne Felder der Web-Anfragen von der Protokollierung auszuschließen.

Für diese Funktion fallen keine Zusatzkosten an. Weitere Informationen finden Sie in der AWS WAF-Dokumentation.