Comment activer le filtrage des journaux dans AWS WAF ?

Solution

Utilisez le filtrage des journaux AWS WAF pour filtrer les entrées de journal en fonction des actions de règle ou des étiquettes générées par les règles lors de l'évaluation des demandes. Le filtrage des journaux vous permet d'économiser Amazon Kinesis Data Firehose et les coûts de stockage en publiant uniquement les journaux que vous avez sélectionnés. Par exemple, vous pouvez enregistrer uniquement les demandes bloquées.

Pour filtrer les journaux AWS WAF, vous devez avoir activé la journalisation AWS WAF. Pour obtenir des instructions sur l'activation de la journalisation AWS WAF, consultez Comment activer la journalisation AWS WAF et envoyer des journaux à Amazon CloudWatch, Amazon S3 ou Kinesis Data Firehose ?

Remarque : il n'y a aucun frais supplémentaire pour l'utilisation du filtrage des journaux AWS.

Activer le filtrage des journaux AWS WAF

1. Ouvrez la console AWS WAF.
2. Pour Region (Région), sélectionnez la région AWS dans laquelle vous avez créé votre liste ACL web.
   **Remarque :**sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
3. Sélectionnez votre liste ACL Web.
4. Choisissez Journaux et Mesures.
5. Pour Filtrer les journaux, choisissez Ajouter un filtre.
6. Ajoutez une ou plusieurs conditions de filtre. Ensuite, sélectionnez le critère pour Faire correspondre à toutes les conditions de filtre ou Faire correspondre à au moins une des conditions de filtre.
7. Pour les Conditions de filtre, sélectionnez Action de règle pour les demandes ou La demande a une étiquette.
   Pour Action de règle, filtrez en fonction de l'action entreprise par la règle, telle que Autoriser, Bloquer, Compter ou CAPTCHA.
   Pour La demande a une étiquette, filtrez en fonction de l'étiquette ajoutée à AWS WAF lors de l'évaluation des demandes.
8. Pour Comportement du filtre, choisissezGarder dans les journaux ou Supprimer des journaux.
9. Choisissez le comportement de Journalisation par défaut.
10. Choisissez Enregistrer.

Consigner uniquement les demandes bloquées

Pour consigner uniquement les demandes bloquées par AWS WAF, sélectionnez le filtrage basé surAction de règle et l'action Bloquer.

L'action Bloquer est une action de résiliation pour AWS WAF. Les filtres de journaux AWS WAF vérifient l'action de règle de terminaison de l'entrée du journal AWS WAF. Si l'action est Bloquer, l'entrée du journal est filtrée et ajoutée au journal.

Consigner les demandes Compter d'un groupe de règles

La façon dont la règle d'un groupe de règles est définie détermine si les journaux sont filtrés ou non :

• Lorsque l'action d'une règle d'un groupe de règles est définie sur Compter, les journaux de la demande correspondant à cette règle ne contiennent pas d'action Compter pour cette règle. Au lieu de cela, les journaux AWS WAF affichent cette règle dans les champs excludedRules, qui ne sont pas vérifiés lorsque les journaux AWS WAF sont filtrés pour l'action Compter. Cela signifie que ces demandes ne sont pas filtrées par le filtrage du journal pour l'action Compter.
• La demande correspondant à une règle d'un groupe de règles où l'action du groupe de règles est Remplacer par le nombre est enregistrée. Pour ces demandes, le journal AWS WAF contient une action Compter dans le champ NonTerminatingMatchingRules qui est vérifiée lors du filtrage de l'action Compter dans les journaux AWS WAF.

Remarque : EXCLUDED_AS_COUNT est un type d'action valide pour le filtrage des journaux. Cette option peut être configurée à l'aide de l'API PutLoggingConfiguration.