Como faço para limpar o registro em log do AWS WAF?

6 minuto de leitura

Quero registrar em log solicitações bloqueadas no AWS WAF. No entanto, não quero registrar todas as solicitações analisadas pelo meu pacote de proteção.

Breve descrição

Com a filtragem de logs do AWS WAF, é possível filtrar solicitações da web registradas em log para manter somente as informações que você deseja analisar. É possível especificar se as solicitações da web são registradas em log ou descartadas do log após a inspeção. Isso economiza nos custos de entrega e armazenamento de logs, pois o AWS WAF publica somente os logs de que você precisa.

Para filtrar os logs do AWS WAF, primeiro ative o registro em log do AWS WAF.

Para limpar seus logs, implemente a supressão de campo e a filtragem de log.

Supressão de campo: suprima partes da solicitação que você deseja manter fora dos logs. É possível omitir os seguintes campos dos seus registros de log: Caminho do URI, String de consulta, Cabeçalho único e Método HTTP. Os campos suprimidos aparecem como SUPRIMIDO nos logs.

Filtragem de log: especifique as condições do filtro para filtrar as entradas de log com base nas ações de regra ou nos rótulos gerados pelas regras durante a avaliação. Para filtrar os logs do AWS WAF em todas as solicitações que contêm um rótulo, você inclui todos os rótulos que usam um nome de rótulo totalmente qualificado. Use o seguinte formato: awswaf:account_number:webacl:webacl_name:namespace:label name.

Observação: não há cobrança extra para você usar a filtragem de log da AWS. No entanto, cobranças se aplicam aos destinos de registro em log. Isso inclui os buckets do Amazon CloudWatch, do Amazon Simple Storage Service (Amazon S3) e os fluxos de entrega do Amazon Data Firehose.

Use o console do AWS WAF para ativar a filtragem de logs do AWS WAF

Abra o console do AWS WAF.
Em Região, selecione a região da AWS em que você criou seu pacote de proteção.
No painel de navegação, clique em Pacotes de recursos e proteção.
No lado direito do pacote de proteção, clique no ícone ao lado do nome da região para selecionar o pacote de proteção.
No pacote de proteção selecionado, clique em Registro em log.
Selecione Visualizar e editar ao lado de Registro em log para visualizar ou modificar a configuração de registro em log associada a esse pacote de proteção.
Em Configurações de proteção de dados, clique em ativo.
Em Escopo, selecione Somente destino do registro em log.
Escolha o tipo de destino e o grupo de logs do Cloudwatch.
Em Campos censurados, selecione os campos que você deseja omitir dos logs.
Observação: especifique cabeçalhos personalizados se quiser suprimir um único campo de cabeçalho.
Em Condições de filtro, selecione Ação da regra por solicitação ou Solicitação tem rótulo.
Em Ação da regra por solicitação, selecione uma ação de regra para filtrar os logs do AWS WAF. Por exemplo: Permitir, Bloquear, Contar, CAPTCHA ou Desafiar.
Em Solicitação tem rótulo, insira o rótulo adicionado ao AWS WAF ao avaliar as solicitações.
Em Comportamento do filtro, clique em Manter nos logs ou Remover dos logs.
Em Manter nos logs ou Remover dos logs, selecione o comportamento de registro em log padrão.
Clique em Salvar.

Use a AWS Command Line Interface (AWS CLI) para ativar a filtragem de logs do AWS WAF

Observação: se você receber mensagens de erro ao executar comandos da AWS CLI, consulte Solução de problemas da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para obter sua configuração de registro em log atual, execute get-logging-configuration:

aws wafv2 get-logging-configuration --region region--resource-arn arn:aws:wafv2:region:account_number:regional/webacl/webacl_name/webacl_id > waf.json

Observação: substitua region pela região da AWS da sua ACL da web, resource-arn pelo nome do recurso da Amazon (ARN) da sua ACL da web e webacl_name pelo nome da sua ACL da web.

Abra o arquivo de configuração de registro em log e adicione os seguintes filtros JSON:

"LoggingFilter": {
    "DefaultBehavior": "string",
    "Filters": [
    {
        "Behavior": "string",
        "Conditions": [
            {
                "ActionCondition": {
                "Action": "string"
                },
                "LabelNameCondition": {
                "LabelName": "string"
                }
            }
        ],
        "Requirement": "string"
    }
]
}

Observação: substitua os filtros e as ações do filtro pelos filtros necessários.

Para atualizar sua configuração de registro em log, execute put-logging-configuration:

aws wafv2 put-logging-configuration --region region --cli-input-json file://waf.json

Observação: substitua region pela região da sua ACL da web.

Registre em log somente solicitações bloqueadas

Para registrar em log somente as solicitações bloqueadas pelo AWS WAF, selecione a filtragem com base na Ação de regra e defina a ação como Bloquear. Bloquear é uma ação de encerramento no AWS WAF. Os filtros de log do AWS WAF verificam a ação da regra de encerramento das entradas de log do AWS WAF. Se a ação for Bloquear, os filtros de log do AWS WAF adicionarão a entrada ao log.

Registre em log as solicitações de Contagem de um grupo de regras

A forma como uma regra em um grupo de regras é definida determina se os logs filtram as solicitações de contagem.

A ação de uma regra em um grupo de regras é definida como Contar: os logs da solicitação que correspondem a essa regra não contêm uma ação Contar. Em vez disso, os logs do AWS WAF mostram essa regra no campo excludedRules. O AWS WAF não verifica esse campo, os logs do AWS WAF são filtrados por Contar. Isso significa que essas solicitações não serão filtradas pela filtragem de log da ação Contar.

Uma regra com a ação não terminativa Contar é inspecionada junto com uma ação de regra de encerramento, como Permitir ou Bloquear: os logs do AWS WAF incluem essas solicitações em logs filtrados pela ação Contar.

A ação de uma regra em um grupo de regras é definida como Substituir em contar: Nessas solicitações, o log do AWS WAF contém uma ação Contar no campo nonTerminatingMatchingRules. Os filtros de log do AWS WAF verificam esse campo, então a regra é filtrada pela ação Contar.

Observação: EXCLUDED_AS_COUNT é um tipo de ação válido para filtragem de logs. Execute o comando put-logging-configuration para configurar essa ação.

Informações relacionadas

LoggingFilter

Trabalhar com a experiência atualizada do console

Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)

Tópicos: Security, Identity, & Compliance
Tags: AWS WAF
Idioma: Português

AWS OFICIALAtualizada há 10 meses

Sem comentários

Conteúdo relevante

Erro ao configurar o route53 com Cloudfront
Leandro Garcia
feita há um ano
Free Fire Canibais Mobile (Game Android) - Problema com acesso a assets no S3 via CloudFront
chanegefrrt
feita há 6 meses
Log de erro no Histórico do CloudWatch, porém funcionado o invoke da Lambda, envio de SNS, alerta de alarme no CloudWatch
Resposta aceita
Jovando
feita há um ano
É POSSIVEL ENVIAR LOGS DE ACESSOS DE UM AUTENTICADOR DE WIFI QUE ESTA EM UMA INSTANCIA EC2 PARA ARMAZENAR NUM S3??
Ape Smart
feita há 9 meses
Reserva para Cloud front existe?
Fernando
feita há 6 meses
Como ativo o registro em log do AWS WAF e envio logs para o CloudWatch, o Amazon S3 ou o Firehose?
AWS OFICIALAtualizada há 10 meses
Como enviar logs do AWS WAF para um bucket do Amazon S3 em uma conta de registro em log centralizada?
AWS OFICIALAtualizada há 4 anos
Como as métricas e os logs são formatados para a ação da regra de contagem no AWS WAF?
AWS OFICIALAtualizada há 4 anos
Como analiso os logs do AWS WAF no CloudWatch?
AWS OFICIALAtualizada há 10 meses
Usando o CloudWatch e o AWS Shield para Monitoramento Eficaz de DDoS: Um Guia Técnico
ESPECIALISTA
Mateus Prado
publicada há 10 meses