Utiliser le pays et l'URI dans l'analyseur de log Athena HTTP flood

Vous pouvez les regrouper par IPs pays et par URI dans la requête Athena afin de détecter et de bloquer les attaques HTTP Flood dont les modèles d'URI sont imprévisibles. Pour ce faire, sélectionnez l'une des options (Country,URI,Country and URI) pour le paramètre de requête Group By Requests in HTTP Flood Athena Query lors du lancement de la pile.

Vous pouvez également saisir un seuil de demande par pays à l'aide du paramètre Seuil de demande par pays. Par exemple, {"TR": 50,"ER":150}. La solution utilise ces seuils pour les demandes provenant de ces pays spécifiés. La solution utilise le seuil par défaut pour les demandes provenant d'autres pays.

Note

Si vous définissez un seuil par pays, la solution inclut automatiquement le pays dans la clause de regroupement par requête Athena. Pour plus d'informations, consultez le tableau des paramètres à l'étape 1. Lancez la pile.

La solution compte le seuil de demande sur une période de cinq minutes par défaut. Ceci est configurable avec le paramètre Athena Query Run Time Schedule (Minute).

Note

La requête Athena calcule le seuil par minute en divisant le seuil de demande par la période. Par exemple :

Seuil de demande (seuil par défaut ou seuil par pays) : 100

Durée d'exécution d'Athena Query : 5

Seuil de demande par minute : 20 = 100/5

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utiliser le fichier JSON de l'analyseur de journal Lambda

Afficher les requêtes Amazon Athena