[アップデート] AWS WAF の Traffic Overview ダッシュボードに、CloudWatch Logs に基づいて可視化される Top Insights セクションが追加されました

[アップデート] AWS WAF の Traffic Overview ダッシュボードに、CloudWatch Logs に基づいて可視化される Top Insights セクションが追加されました

#AWS WAF
#AWS
いわさ

いわさ

facebook logohatena logotwitter logo
Clock Icon2025.01.04

いわさです。

今朝のアップデートで AWS WAF の Traffic Overview ダッシュボードが強化されました。
従来のアクションサマリやトラフィック特性ダッシュボードビューに加えて、CloudWatch Logs に基づいて可視化される「Top Insights セクション」が使えるようになります。

https://aws.amazon.com/about-aws/whats-new/2025/01/aws-waf-console-top-insights-visualizations/

従来はアクションサマリではメトリクスベースでボリュームを把握することが出来ました。
トラフィック特性では代表的な特性の割合やカウントなどを把握することが出来ました。

今回のビューでは、URI パス、HTTP メソッド、クライアント IP アドレス、ユーザーエージェント、ラベル、関連リソースのカテゴリでそれぞれ(カウント)上位 100 件の詳細な値を確認出来ます。
これによって傾向だけでなく IP アドレスやパスなどルールの管理に必要なより詳細な情報をすぐに確認出来るようになります。

前提条件として Web ACL で CoudWatch Logs へのログ出力構成を行う必要があります。(デフォルトはオフ)
AWS WAF としてこの機能自体の追加料金は発生しませんが、CloudWatch Logs の利用料金は発生します。

本記事では実際に有効化してどのような表示になるのか試してみたので紹介します。

Web ACL の CloudWatch Logs 出力を有効化

今回のアップデートで、CloudWatch Logs 出力が構成されていない Web ACL の場合、次のようなバナーが表示されるようになっています。
「Enable CloudWatch Logs」ボタンからログ出力設定の編集画面に遷移出来ます。

A7F20CB9-7242-494E-AF25-E4F649330BBD.png

あるいは、Logging and metrics タブからログ出力を設定してやっても OK です。

6BB321F8-29C5-4998-9FCA-6B071D9881A5.png

今回の対象は CloudWatch Logs のみのようなので、出力先に CloudWatch Logs のロググループを指定します。
ロググループは命名規則に従っている必要がありますのでご注意ください。[1]

1495C612-652C-4860-B505-F4A3478D7487.png

設定後、Traffic Overview タブに遷移出来ます。
追加の有効操作が必要なわけではなく遷移するだけです。

0E78C7C3-7258-4F78-8C52-E45B6E61CF04.png

インサイトの確認

いくつか適当なリクエストを受信後に Top Insights を確認してみましょう。
今回は CloudFront に Web ACL をアタッチしました。
で、「Action total for the scpecified time range」と「Action summary for the specified time range」セクションの間に「Top insights」という折りたたみセクションが追加されています。

3A2FF997-CD88-490C-BA23-C34AF8E9FF85.png

開いてみるとこんな感じです。

26AE7BD5-1EE0-4FB2-9001-0AC9785B8872.png

URI パス、HTTP メソッド、クライアント IP アドレス、ユーザーエージェント、ラベル、関連リソースという6つのカテゴリごとに件数ベースで Top 100 が表示されており、どのパスなのか、IP アドレスなのか、などが確認できるようになっています。

CloudWatch Logs へのログの出力および、WAF ダッシュボードへ表示する際のクエリ料金が発生します。CloudWatch Logs 利用に伴う標準料金に注意しましょう。[2]

参考までに、従来のセクションは次のような内容が確認できていました。
従来のセクションで傾向(攻撃受けてそうだ)をつかみ、今回追加されたセクションで具体的なターゲット(こいつをブロックするのが良さそうか)にフォーカスするような使い方になる感じですかね。

D5391E60-6B9F-4081-A0AB-35F0131B28B0.png

さいごに

本日は AWS WAF の Traffic Overview ダッシュボードに、CloudWatch Logs に基づいて可視化される Top Insights セクションが追加されたので試してみました。

実際に運用してみないと使い勝手はなんとも言えなさそうですが、従来のセクションとは違った情報が取得できとても良さそうに思えます。無条件にカウントで Top 100 取得しているようなのでノイズが多そうな気もちょっとします。除外やフィルタリングの設定とかも出来るともっと使い勝手がよくなりそうです。
CloudWatch Logs の料金に注意して使いたいですね。

脚注

  1. [アップデート] AWS WAFのログを直接CloudWatch LogsおよびS3に出力可能になりました | DevelopersIO ↩︎

  2. CloudWatch Logs と S3 にかかる料金比較 | DevelopersIO ↩︎

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS Amplify のファイアウォール(WAF)機能がついにプレビューで登場しました

[アップデート] AWS Amplify のファイアウォール(WAF)機能がついにプレビューで登場しました

User avatar
いわさ
2024.12.19
AWS WAFの優先度(Priority)だけ任意の値に変える方法

AWS WAFの優先度(Priority)だけ任意の値に変える方法

User avatar
Takuya Shibata
2024.12.15
「AWS WAF: What a BOT it?」のチョークトークに参加しました #AWSreInvent #CDN307

「AWS WAF: What a BOT it?」のチョークトークに参加しました #AWSreInvent #CDN307

User avatar
serina
2024.12.10
CloudWatchでセキュリティ可観測性を向上させるワークショップに参加。可視化から対応までの一連の流れをコスパ良く体験できました #AWSreInvent #COP340

CloudWatchでセキュリティ可観測性を向上させるワークショップに参加。可視化から対応までの一連の流れをコスパ良く体験できました #AWSreInvent #COP340

User avatar
川原征大
2024.12.05
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.