Wie aktiviere ich die Protokollfilterung in AWS WAF?

Auflösung

Verwenden Sie die Filterung von AWS-WAF-Protokollen, um Protokolleinträge auf der Grundlage von Regelaktionen oder Kennzeichnungen herauszufiltern, die von Regeln bei der Bewertung von Anfragen erzeugt werden. Das Filtern von Protokollen hilft Ihnen, Amazon Kinesis Data Firehose und Speicherkosten zu sparen, indem Sie nur die von Ihnen ausgewählten Protokolle veröffentlichen. Sie können beispielsweise nur blockierte Anfragen protokollieren.

Um AWS-WAF-Protokolle zu filtern, müssen Sie die AWS-WAF-Protokollierung aktiviert haben. Anweisungen zum Aktivieren der AWS-WAF-Protokollierung finden Sie unter Wie aktiviere ich die AWS-WAF-Protokollierung und sende Protokolle an Amazon CloudWatch, Amazon S3 oder Kinesis Data Firehose?

Hinweis: Für die Nutzung der AWS-Protokollfilterung fallen keine zusätzlichen Gebühren an.

Aktivierung der AWS-WAF-Protokollfilterung

1. Öffnen Sie die AWS-WAF- Konsole.
2. Wählen Sie für Region die AWS-Region aus, in der Sie Ihre Web-ACL erstellt haben.
   Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist.
3. Wählen Sie Ihre Web-ACL aus.
4. Wählen Sie Protokolle und Metriken.
5. Wählen Sie unter Protokolle filtern die Option Filter hinzufügen aus.
6. Fügen Sie eine oder mehrere Filterbedingungen hinzu. Wählen Sie dann die Kriterien aus, um entweder alle Filterbedingungen zu erfüllen oder mindestens eine der Filterbedingungen zu erfüllen.
7. Wählen Sie unter Filterbedingungen entweder Regelaktion auf Anfrage oder Anforderung hat Kennzeichnungen aus.
   Filtern Sie für Regelaktion basierend auf der von der Regel ausgeführten Aktion, z. B. Zulassen, Blockieren, Zählen oder CAPTCHA.
   Wenn Anfrage mit Kennzeichnungen versehen ist, filtern Sie basierend auf den Kennzeichnungen, die bei der Auswertung von Anfragen zu AWS WAF hinzugefügt wurde.
8. Wählen Sie für Filterverhalten entweder In Protokollen behalten oder Aus Protokollen löschen aus.
9. Wählen Sie das Standard-Protokollierungsverhalten.
10. Wählen Sie Speichern.

Nur blockierte Anfragen protokollieren

Um nur die von AWS WAF blockierten Anfragen zu protokollieren, wählen Sie die Filterung basierend auf Regelaktion und Aktion als Blockieren aus.

Die Blockierungsaktion ist eine Beendigungsaktion für AWS WAF. AWS-WAF-Protokollfilter überprüfen die Aktion zum Beenden der Regel des AWS-WAF-Protokolleintrags. Wenn die Aktion Blockieren lautet, wird der Protokolleintrag gefiltert und dem Protokoll hinzugefügt.

Protokollierung der Zählanforderungen einer Regelgruppe

Wie die Regel in einer Regelgruppe festgelegt wird, bestimmt, ob die Protokolle gefiltert werden oder nicht:

• Wenn die Aktion für eine Regel in einer Regelgruppe auf Anzahl festgelegt ist, enthalten die Protokolle für die Anforderungsübereinstimmung mit dieser Regel keine Anzahl Aktion für diese Regel. Stattdessen zeigen die AWS-WAF-Protokolle diese Regel in den Feldern excludedRules an, die nicht überprüft werden, wenn die AWS-WAF-Protokolle für die Aktion Anzahl gefiltert werden. Dies bedeutet, dass diese Anforderungen nicht durch die Protokollfilterung für die Aktion Anzahl gefiltert werden.
• Die Anfrage, die mit einer Regel in einer Regelgruppe übereinstimmt, bei der die Regelgruppen-Aktion Anzahl überschreiben lautet, wird protokolliert. Für diese Anforderungen enthält das AWS WAF-Protokoll eine Anzahl-Aktion im Feld NonTerminatingMatchingRules, die beim Filtern der Aktion Anzahl in AWS-WAF-Protokollen aktiviert wird.

Hinweis: EXCLUDED_AS_COUNT ist ein gültiger Aktionstyp für die Protokollfilterung. Diese Option kann mit der PutLoggingConfiguration-API konfiguriert werden.