AWS WAFのアクセスログ記録でフィルタリング処理が可能になりました
AWS WAFでサポートされたアクセスログのフィルタリング機能を利用して、「Count」「Block」判定されたログのみの保存を試してみました。
AWSチームのすずきりょうです。
2021年5月のAWS WAFのアップデートで、アクセスログのフィルタリングがサポートされました。
AWS WAFルールで 「Count」、「Block」と判定されたログのみ記録する設定を試す機会がありましたので、紹介させていただきます。
WAFダッシュボード
Web ACLs > Logging and metrics
WAFのログ設定画面に「Filter Logs」が追加されました。
フィルタ設定
デフォルトは記録対象外(Drop)、「Count」、「Block」と判定されたログのみを記録する設定としました。
2021年4月よりAWS WAFでサポートされたラベルをフィルタ対象とする事も可能です。
結果
フィルタ設定後、WAFアクセスログを記録するFirehoseの容量(IncommingBytes)は、約85%の節減となりました。
変更前(17MB)
- 5/8 17時0分
変更後(3MB)
- 5/15 17時0分
まとめ
AWS WAFのアクセスログ、WAFのルール情報やリクエストヘッダなどが記録されるため1レコードあたりの容量が数KB〜と大きくなる場合があり、 アクセス数の多いサイトでは ログ記録、解析時に発生するコストが課題になる事がありました。
今回リリースされたフィルタ機能を利用する事で、コストを抑えたアクセスログの記録が可能になりました。 特に多機能なマネージドルールを利用して遮断を行う場合には、WAFルールの誤判定が発生した場合の調査対応を可能とするために「Block」ログを記録する事をおすすめします。
![[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-f66629e23bafcf47fa6477fd0349a4f7/3e371b05917375d87daf613d54a600d8/amazon-cloudfront)
