テクニカルサポートに寄せられる AWS WAF に関するよくある質問

2023.02.14

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

テクニカルサポートの yama です。

今回はテクニカルサポートに寄せられる AWS WAF に関する、よくある質問をまとめました。
これから WAF を利用される方も、既に WAF を利用されている方にも、有益な情報だと思うので、ご一読いただけると嬉しいです。

マネージドルールにて誤検知が発生しました。どうすれば回避できますか?

誤検知への一般的な回避方法は以下の手順で行います。

①.誤検知があったルールと文字列を特定する。
②.誤検知があった文字列を許可(ALLOW)するルールを追加する。
③.追加したルールを、誤検知があったルールより高い優先度に設定する。

詳細な設定については、以下ブログをご参照ください。

AWS WAF のマネージドルールで誤検知が発生した場合、どうすれば回避できますか? | DevelopersIO

AWS WAF のルールと ALB のセキュリティグループやリスナールールでは、どちらが先に評価されますか?

WAF がトラフィックを評価する流れは下記の順序で行うので、ALB のセキュリティグループ、リスナールールが先に評価されます。

  1. 元となるサービスがウェブサイトへのリクエストを受け取る
  2. それを精査するために WAF へ転送
  3. ルール評価を WAF が行う

よくある質問 - AWS WAF | AWS
AWS WAF のルールと ALB のセキュリティグループどちらが先に評価されますか? | DevelopersIO

Web ACLs の overview 画面から過去のログを確認する場合、どのような方法で参照できますか?

Web ACLs の overview 画面で表示できる Sampled requests はあくまでサンプルです。
保持期間は最大過去 3 時間までとなります。過去のログを参照するためには、明示的にログへの保存を有効にする必要があります。

AWS WAF にて Web ACLs の overview 画面から Sampled requests を用いてログを確認しています。過去のログはどのような方法で参照できますか? | DevelopersIO

COUNT で記録するように設定したログが取得出来ていませんでした。原因と解決方法を教えてください。

COUNTされたリクエストのみを取得するように、ログに対してフィルターを設定している場合、マネージドルールでCOUNTと判断されたリクエストのログは COUNT ではなく EXCLUDED_AS_COUNTとして出力されるため、ログに出力されない場合があります。
EXCLUDED_AS_COUNTをフィルタ条件に追加するには AWS CLI などから設定が必要です。

AWS WAFでカウントされたログ取りこぼしてませんか? | DevelopersIO

おわりに

以上、テクニカルサポートに寄せられる AWS WAF に関するよくある質問でした。
こちらの記事については、今後よくある質問が増えましたら追記していく予定ですので、AWS WAF でお困りごとがありましたら確認いただき、少しでも開発のお役に立てれば幸いです。