Publié le: Aug 31, 2018
AWS WAF prend désormais en charge la journalisation complète de toutes les requêtes Web inspectées par le service. Les clients peuvent stocker ces journaux dans Amazon S3 à des fins de conformité et d'audit, ainsi que les utiliser pour le débogage et d'autres analyses criminalistiques. Les journaux aideront les clients à comprendre pourquoi certaines règles sont déclenchées, alors que certaines requêtes Web sont bloquées. Les clients peuvent également intégrer les journaux à leurs services SIEM et à leurs outils d'analyse des journaux.
Pour chaque requête Web, les journaux AWS WAF fournissent maintenant des en-têtes HTTP/S, ainsi que des informations sur la base desquelles sont déclenchées les règles AWS WAF. Cela se révèle utile pour dépanner les règles WAF personnalisées, ainsi que les règles gérées relatives à AWS WAF. Ces journaux seront mis à disposition via Amazon Kinesis Data Firehose au format JSON.
Deux étapes sont nécessaires pour activer les journaux complets AWS WAF. D'abord, dans la console Amazon Kinesis, créez une instance d'Amazon Kinesis Data Firehose dans le ou les comptes appropriés. Dans le cadre de cette configuration, les clients peuvent choisir la destination des données provenant d'Amazon S3, d'Amazon ElasticSearch, ou d'Amazon RedShift. Les clients peuvent également profiter du ou des outils tiers Splunk ou Sumo Logic pour activer la solution avancée SIEM afin de leur apporter une plate-forme de surveillance avancée. Ensuite, dans la console AWS WAF, activez les journaux et sélectionnez l'instance Firehose. Lors de la configuration, les clients ont également la possibilité de rédiger des champs à partir des requêtes Web qu'ils ne souhaitent pas voir journalisées.
Aucuns frais supplémentaires ne sont liés à l'activation de la journalisation sur AWS WAF (moins Kinesis Firehose et les éventuels frais de stockage). Pour plus d'informations, consultez la documentation AWS WAF.