本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
记录 Web ACL 流量信息
注意
这是Amazon WAF经典文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅将您的Amazon WAF经典资源迁移到Amazon WAF。
有关的最新版本Amazon WAF,请参阅Amazon WAF。
您可以启用日志记录以获取有关 Web ACL 分析的流量的详细信息。日志中包含的信息包括Amazon WAF Classic 从Amazon资源收到请求的时间,以及每个请求所匹配的规则的操作。
要开始使用,您需要设置 Amazon Kinesis Data Firehose。在这个过程中,您需要选择用于存储日志的目标。接下来,选择您要启用日志记录的 Web ACL。启用日志记录后,通过 firehose 将日志Amazon WAF传送到您的存储目的地。
有关如何创建Amazon Kinesis Firehose 和查看存储的日志相关信息,请参阅什么是 Amazon Kinesis Data Firehose? 要了解您的 Kinesis Data Firehose e 所需的权限,请参阅使用 Amazon Kinesis Data Firehose 控制访问。
您必须拥有以下权限才能成功启用日志记录:
iam:CreateServiceLinkedRole
firehose:ListDeliveryStreams
waf:PutLoggingConfiguration
有关服务相关角色以及 iam:CreateServiceLinkedRole
权限的更多信息,请参阅将服务相关角色用于Amazon WAF Clasivic。
为 Web ACL 启用日志记录
使用以前缀 “aws-waf-logs-” 开头的名称创建 Amazon Kinesis Data Firehose 例如,
aws-waf-logs-us-east-2-analytics
。使用PUT
源,在您执行操作的区域中创建 Data Firehose。如果您要为亚马逊捕获日志 CloudFront,请在美国东部(弗吉尼亚北部)创建消防管。有关更多信息,请参阅创建 Amazon Kinesis Data Firehose 传输流。重要
请勿选择
Kinesis stream
作为源。一条Amazon WAF经典日志等同于一条 Kinesis Data Firehose 记录。如果您通常每秒收到 10,000 个请求并且启用了完整日志,则在 Kinesis Data Firehose 中应设置每秒 10,000 条记录。如果你没有正确配置 Kinesis Data Firehose,Amazon WAFClassic 将无法记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 配额。
登录Amazon Web Services Management Console并打开Amazon WAF主机,网址为 https://console.aws.amazon.com/wafv2/
。 如果您在导航窗格中看到 “切换到Amazon WAF经典”,请将其选中。
在导航窗格中,选择 Web ACL。
选择要为其启用日志记录的 Web ACL 的名称。这将在右侧窗格中打开一个包含 Web ACL 详细信息的页面。
在 Logging (日志记录) 选项卡上,选择 Enable logging (启用日志记录)。
选择您在第一步中创建的 Kinesis Data Firehose。您必须选择以 “aws-waf-logs-” 开头的消防管。
(可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 Add (添加)。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为
REDACTED
。例如,如果您编辑 cookie 字段,则日志中的 cookie 字段将为REDACTED
。选择启用日志记录。
注意
成功启用日志记录后,Amazon WAFClassic 将创建一个具有向 Amazon Kinesis Data Firehose 写入日志所需的权限的服务关联角色。有关更多信息,请参阅将服务相关角色用于Amazon WAF Clasivic:
禁用 Web ACL 的日志记录
在导航窗格中,选择 Web ACL。
选择要禁用其日志记录的 Web ACL 的名称。这将在右侧窗格中打开一个包含 Web ACL 详细信息的页面。
在 Logging (日志记录) 选项卡上,选择 Disable logging (禁用日志记录)。
在对话框中,选择 Disable logging (禁用日志记录)。
例 示例日志
{ "timestamp":1533689070589, "formatVersion":1, "webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590", "terminatingRuleId":"Default_Action", "terminatingRuleType":"REGULAR", "action":"ALLOW", "httpSourceName":"CF", "httpSourceId":"i-123", "ruleGroupList":[ { "ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3", "terminatingRule":null, "nonTerminatingMatchingRules":[ {"action" : "COUNT", "ruleId" : "4659b169-2083-4a91-bbd4-08851a9aaf74"} ], "excludedRules": [ {"exclusionType" : "EXCLUDED_AS_COUNT", "ruleId" : "5432a230-0113-5b83-bbb2-89375c5bfa98"} ] } ], "rateBasedRuleList":[ { "rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f", "limitKey":"IP", "maxRateAllowed":100 }, { "rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30", "limitKey":"IP", "maxRateAllowed":100 } ], "nonTerminatingMatchingRules":[ {"action" : "COUNT", "ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"} ], "httpRequest":{ "clientIp":"192.10.23.23", "country":"US", "headers":[ { "name":"Host", "value":"127.0.0.1:1989" }, { "name":"User-Agent", "value":"curl/7.51.2" }, { "name":"Accept", "value":"*/*" } ], "uri":"REDACTED", "args":"usernam=abc", "httpVersion":"HTTP/1.1", "httpMethod":"GET", "requestId":"cloud front Request id" } }
下面是对这些日志中列出的各个项的说明:
- timestamp
时间戳,以毫秒为单位。
- formatVersion
日志的格式版本。
- webaclId
Web ACL 的 GUID。
- terminatingRuleId
终止请求的规则的 ID。如果没有任何情况会终止请求,则值为
Default_Action
。- terminatingRuleType
终止请求的规则的类型。可能的值:基于费率、常规和群组。
- action
操作。终止规则的可能值为:ALLOW 和 BLOCK。COUNT 不是终止规则的有效值。
- terminatingRuleMatch细节
-
有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则的可能操作是 ALLOW 和 BLOCK。这仅适用于 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。与所有用于检查多个事物的规则语句一样,Amazon WAF 对第一个匹配应用操作并停止检查 Web 请求。除了日志中报告的威胁之外,具有终止操作的 Web 请求还可能包含其他威胁。
- httpSourceName
请求的源。可能的值:CF(如果源是亚马逊 CloudFront)、APIGW(如果源是Amazon API Gateway)和 ALB(如果源是Application Load Balancer)。
- httpSourceId
源 ID。此字段显示关联亚马逊 CloudFront 发行版的 ID、API Gateway 的 REST API 或Application Load Balancer 名称。
- ruleGroupList
对此请求进行操作的规则组的列表。在前面的代码示例中,只有一个。
- ruleGroupId
规则组的 ID。如果规则阻止了请求,则
ruleGroupID
的 ID 与terminatingRuleId
的 ID 相同。- terminatingRule
规则组中终止了请求的规则。如果这是非空值,它还会包含 ruleid 和 action。在这种情况下,操作将始终为 BLOCK。
- nonTerminatingMatching规则
规则组中与请求匹配的规则列表。这些规则将始终为 COUNT 规则(匹配的非终止规则)。
- 操作(nonTerminatingMatching规则组)
它将始终为 COUNT(匹配的非终止规则)。
- ruleId(nonTerminatingMatching规则组)
规则组中与请求匹配并且为非终止规则的 ID。即 COUNT 规则。
- excludedRules
规则组中您排除的规则的列表。这些规则的操作设置为 COUNT。
- exclusionType(excludedRules 组)
一种类型,指示排除的规则具有操作 COUNT。
- ruleId(excludedRules 组)
规则组中排除的规则的 ID。
- rateBasedRule清单
对请求执行操作的基于速率的规则列表。
- rateBasedRuleID
作用于请求的基于速率的规则的 ID。如果这已终止请求,则
rateBasedRuleId
的 ID 与terminatingRuleId
的 ID 相同。- limitKey
Amazon WAF 用于确定请求是否来自单个源因而需要受速率监控的字段。可能的值:IP。
- maxRateAllowed
在五分钟内允许的最大请求数,具有与
limitKey
所指定的字段相同的值。如果请求数超过了maxRateAllowed
并且还满足规则中指定的其他谓词,则 Amazon WAF 将触发为此规则指定的操作。- httpRequest
关于请求的元数据。
- clientIp
发送请求的客户端的 IP。
- country
请求的源国家/地区。Amazon WAF如果无法确定原产国,则会将此字段设置为
-
。- headers
标头的列表。
- uri
请求的 URI。上述代码示例演示在编辑了此字段时应具有的值。
- args
查询字符串。
- httpVersion
HTTP 版本。
- httpMethod
请求中的 HTTP 方法。
- requestId
请求的 ID。