记录 Web ACL 流量信息 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

记录 Web ACL 流量信息

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF

对于最新版本的Amazon WAF,请参阅Amazon WAF

您可以启用日志记录,以获取有关 Web ACL 对流量进行分析的详细信息。日志中包含的信息包括Amazon WAF经典收到您的请求Amazon资源、有关请求的详细信息以及每个请求所匹配的规则的操作。

要开始使用,您需要设置 Amazon Kinesis Data Firehose。在这个过程中,您需要选择用于存储日志的目标。接下来,选择您要启用日志记录的 Web ACL。启用日志记录后,Amazon WAF通过 Firehose 将日志传送到您的存储目标。

有关如何创建 Amazon Kinesis Data Firehose 以及接收您的存储日志的信息,请参阅什么是 Amazon Kinesis Data Firehose? 要了解 Kinesis Data Firehose 配置所需的权限,请参阅使用 Amazon Kinesis Data Firehose 控制访问

您必须拥有以下权限才能成功启用日志记录:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • waf:PutLoggingConfiguration

有关服务相关角色以及 iam:CreateServiceLinkedRole 权限的更多信息,请参阅将服务相关角色用于Amazon WAFClassic

为 Web ACL 启用日志记录

  1. 使用以前缀 “aws-waf-log” 开头的名称创建 Amazon Kinesis Data Firehose 例如,aws-waf-logs-us-east-2-analytics。使用 PUT 源,在您执行操作的区域中创建 Data Firehose。如果您为 Amazon CloudFront 捕获日志,请在美国东部(弗吉尼亚北部)创建 Firehose。有关更多信息,请参阅 。创建 Amazon Kinesis Data Firehose 传输流

    重要

    请勿选择 Kinesis stream 作为源。

    OneAmazon WAF传统日志等同于一个 Kinesis Data Firehose 记录。如果您通常每秒接收 10000 个请求并启用了完整日志记录,您的 Kinesis Data Firehose 中应具有每秒 10000 个记录的设置。如果您没有正确配置 Kinesis Data Firehose,请Amazon WAFClassic 不会记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 配额

  2. 登录到Amazon Web Services Management Console并打开Amazon WAF控制台位置https://console.aws.amazon.com/wafv2/

  3. 在导航窗格中,选择 Web ACL

  4. 选择您要启用日志记录的 Web ACL。

  5. Logging (日志记录) 选项卡上,选择 Enable logging (启用日志记录)

  6. 选择您在第一步中创建的 Kinesis Data Firehose。您必须选择以“aws-waf-logs-”开头的 Firehose。

  7. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 Add (添加)。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 XXX。例如,如果您编辑 cookie 字段,则日志中的 cookie 字段将为 XXX

  8. 选择启用日志记录

    注意

    成功启用日志记录后,Amazon WAFClassisis 将创建一个具有将日志写入到 Amazon Kinesis Data Firehose 中的必要权限的服务链接角色。有关更多信息,请参阅将服务相关角色用于Amazon WAFClassic

禁用 Web ACL 的日志记录

  1. 在导航窗格中,选择 Web ACL

  2. 选择您要禁用日志记录的 Web ACL。

  3. Logging (日志记录) 选项卡上,选择 Disable logging (禁用日志记录)

  4. 在对话框中,选择 Disable logging (禁用日志记录)

例 示例日志

{ "timestamp":1533689070589, "formatVersion":1, "webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590", "terminatingRuleId":"Default_Action", "terminatingRuleType":"REGULAR", "action":"ALLOW", "httpSourceName":"CF", "httpSourceId":"i-123", "ruleGroupList":[ { "ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3", "terminatingRule":null, "nonTerminatingMatchingRules":[ {"action" : "COUNT", "ruleId" : "4659b169-2083-4a91-bbd4-08851a9aaf74"} ] "excludedRules": [ {"exclusionType" : "EXCLUDED_AS_COUNT", "ruleId" : "5432a230-0113-5b83-bbb2-89375c5bfa98"} ] } ], "rateBasedRuleList":[ { "rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f", "limitKey":"IP", "maxRateAllowed":100 }, { "rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30", "limitKey":"IP", "maxRateAllowed":100 } ], "nonTerminatingMatchingRules":[ {"action" : "COUNT", "ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"} ], "httpRequest":{ "clientIp":"192.10.23.23", "country":"US", "headers":[ { "name":"Host", "value":"127.0.0.1:1989" }, { "name":"User-Agent", "value":"curl/7.51.2" }, { "name":"Accept", "value":"*/*" } ], "uri":"REDACTED", "args":"usernam=abc", "httpVersion":"HTTP/1.1", "httpMethod":"GET", "requestId":"cloud front Request id" } }

下面是对这些日志中列出的各个项的说明:

timestamp

时间戳,以毫秒为单位。

formatVersion

日志的格式版本。

webaclId

Web ACL 的 GUID。

terminatingRuleId

终止请求的规则的 ID。如果没有任何情况会终止请求,则值为 Default_Action

terminatingRuleType

终止请求的规则的类型。可能的值:基于 RATE_BASED、REGULAR 和 GROUP。

操作

操作。终止规则的可能值为:允许和阻止。COUNT 不是终止规则的有效值。

terminatingRuleMatchDetails

有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则的可能操作是 ALLOW 和 BLOCK。这仅适用于 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。与所有用于检查多个事物的规则语句一样,Amazon WAF 对第一个匹配应用操作并停止检查 Web 请求。除了日志中报告的威胁之外,具有终止操作的 Web 请求还可能包含其他威胁。

httpSourceName

请求的源。可能的值:CF(如果源为 Amazon CloudFront)、APIGW(如果源为 Amazon API Gateway)以及 ALB(如果源为 Application Load Balancer)。

httpSourceId

源 ID。此字段显示关联 Amazon CloudFront 分配的 ID、API Gateway 的 REST API 或 Application Load Balancer 的名称。

ruleGroupList

对此请求进行操作的规则组的列表。在前面的代码示例中,只有一个。

ruleGroupId

规则组的 ID。如果规则阻止了请求,则 ruleGroupID 的 ID 与 terminatingRuleId 的 ID 相同。

terminatingRule

规则组中终止了请求的规则。如果这是非空值,它还会包含 ruleidaction。在这种情况下,操作将始终为 BLOCK。

nonTerminatingMatchingRules

规则组中与请求匹配的规则列表。这些规则将始终为 COUNT 规则(匹配的非终止规则)。

action (nonTerminatingMatchingRules group)

它将始终为 COUNT(匹配的非终止规则)。

ruleId (nonTerminatingMatchingRules group)

规则组中与请求匹配并且为非终止规则的 ID。即 COUNT 规则。

excludedRules

规则组中您排除的规则的列表。这些规则的操作设置为 COUNT。

exclusionType(excludedRules 组)

一种类型,指示排除的规则具有操作 COUNT。

ruleId(excludedRules 组)

规则组中排除的规则的 ID。

rateBasedRuleList

对请求执行操作的基于速率的规则列表。

rateBasedRuleId

作用于请求的基于速率的规则的 ID。如果这已终止请求,则 rateBasedRuleId 的 ID 与 terminatingRuleId 的 ID 相同。

limitKey

Amazon WAF 用于确定请求是否来自单个源因而需要受速率监控的字段。可能的值:IP。

maxRateAllowed

在五分钟内允许的最大请求数,具有与 limitKey 所指定的字段相同的值。如果请求数超过了 maxRateAllowed 并且还满足规则中指定的其他谓词,则 Amazon WAF 将触发为此规则指定的操作。

httpRequest

关于请求的元数据。

clientIp

发送请求的客户端的 IP。

country

请求的源国家/地区。如果Amazon WAF无法确定原产国,则会将此字段设置为-

headers

标头的列表。

uri

请求的 URI。上述代码示例演示在编辑了此字段时应具有的值。

args

查询字符串。

httpVersion

HTTP 版本。

httpMethod

请求中的 HTTP 方法。

requestId

请求的 ID。