翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ウェブ ACL トラフィック情報のログ記録
ログ記録を有効にして、ウェブ ACL で分析されるトラフィックに関する詳細情報を取得できます。ログに含まれる情報には、AWS WAFからリクエストを受け取りましたAWSリソース、リクエストの詳細情報、各リクエストが一致させるルールのアクションが含まれます。
Web ACL のロギング設定では、AWS WAFは、次のようにログに送信します。
-
ログのフィルタリング— フィルタリングを追加して、ログに保持するウェブリクエストとドロップするウェブリクエストを指定できます。ルールのアクションと、リクエスト評価時に適用された Web リクエストラベルでフィルタリングできます。ルールアクションの設定の詳細については、「」を参照してください。AWS WAF ルールアクション。ラベルの詳細については、「」を参照してください。AWS WAFWeb リクエストのラベル。
-
フィールドの改正— ログレコードからいくつかのフィールドを墨消しできます。編集されたフィールドは
XXXログの。 たとえば、編集した場合URIフィールドに、URIフィールドはログのXXX。ログフィールドのリストについては、「」を参照してください。ログフィールド。
ウェブ ACL から、保存先が設定された Amazon Kinesis Data Firehose にログを送信します。ロギングを有効にすると、AWS WAFKinesis Data Firehose の HTTPS エンドポイントを介してストレージ先にログを送信します。
Amazon Kinesis Data Firehose を作成し、保存されたログを確認する方法については、「」を参照してください。Amazon Kinesis Data Firehose とは何ですか? Kinesis Data Firehose の設定に必要な権限については、Amazon Kinesis Data Firehose によるアクセスの制御。
ログ記録を正常に有効化するには、以下のアクセス許可がある必要があります。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
サービスにリンクされたロールおよび iam:CreateServiceLinkedRole アクセス許可の詳細については、「AWS WAF のサービスにリンクされたロールの使用」を参照してください。
ウェブ ACL でログ記録を管理する
ウェブ ACL でログ記録はいつでもイネーブルおよびディセーブルにすることができます。
ウェブ ACL でログ記録を有効にするには
-
Amazon Kinesis Data Firehose を
aws-waf-logs-で始まるプレフィックスを使用して作成します。たとえば、aws-waf-logs-us-east-2-analyticsと指定します。PUTソースを使用して、動作しているリージョンでデータ firehose を作成します。Amazon CloudFront のログをキャプチャしている場合には、米国東部 (バージニア北部) にファイヤーホースを作成します。詳細については、「Amazon Kinesis Data Firehose 配信ストリームの作成」を参照してください。重要 ソースとして
Kinesis streamを選択しないでください。OneAWS WAFログは、1 つの Kinesis Data Firehose レコードに相当します。通常の場合に 1 秒あたり 10,000 リクエストを受信し、完全ログを有効にすると、Kinesis Data Firehose では 1 秒あたり 10,000 レコードに設定されます。Kinesis Data Firehose を正しく構成しない場合、AWS WAFはすべてのログを記録しません。詳細については、「Amazon Kinesis Data Firehose のクォータ」を参照してください。
-
にサインインします。AWS Management Console[(ドキュメントの作成)AWS WAFコンソールhttps://console.aws.amazon.com/wafv2/
。 -
ナビゲーションペインの [Web ACLs] を選択します。
-
ログ記録を有効にするウェブ ACL を選択します。
-
[ログ記録] タブで [ログの有効化] を選択します。
-
最初のステップで作成した Kinesis Data Firehose を選択します。[] ではじまる firehorse を選ぶ必要があります。
aws-waf-logs-。 -
(オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドを編集します。編集するフィールドを選び、[追加] を選択します。必要に応じて手順を繰り返し、追加のフィールドを編集します。編集されたフィールドは、ログに
XXXと表示されます。たとえば、編集した場合URIフィールドに、URIフィールドはログのXXX。 -
(オプション) すべてのリクエストをログに送信しない場合は、フィルタリング基準および動作を追加します。[]ログのフィルタリングで、適用するフィルタごとに、[フィルタの追加を選択し、フィルタリング条件を選択し、条件に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が終了したら、必要に応じてデフォルトのログ記録動作。
-
[ログの有効化] を選択します。
注記 ログを正常に有効化すると、AWS WAF は、必要なアクセス許可を使用してサービスにリンクされたロールを作成し、Amazon Kinesis Data Firehose にログを書き込みます。詳細については、「AWS WAF のサービスにリンクされたロールの使用」を参照してください。
ウェブ ACL でログ記録を無効にするには
-
ナビゲーションペインの [Web ACLs] を選択します。
-
ログ記録を無効にするウェブ ACL を選択します。
-
[ログ記録] タブで [ログの無効化] を選択します。
-
確認ダイアログボックスで、[ログの無効化] を選択します。
ログフィールド
次のリストは、可能なログフィールドについて説明しています。
- action
-
アクション。ルールを終了する可能性のある値は、次のとおりです。
ALLOWおよびBLOCK。COUNTは終了しないルールアクションです。 - args
-
クエリ文字列。
- clientIp
-
リクエストを送信するクライアントの IP アドレス。
- country
-
リクエストの送信国。もしAWS WAFが原産国を特定できない場合、このフィールドは
-。 - excludedRules
-
除外されているルールグループ内のルールのリスト。これらのルールのアクションは COUNT に設定されます。
- exclusionType
-
除外されたルールにアクション COUNT があることを示すタイプ。
- ruleId
-
除外されたルールグループ内のルールの ID。
- formatVersion
-
ログの形式バージョン。
- ヘッダー
-
ヘッダーの一覧。
- httpMethod
-
リクエストの HTTP メソッド。
- httpRequest
-
リクエストに関するメタデータです。
- httpSourceId
-
ソース ID。このフィールドには、関連付けられているリソースの ID が表示されます。
- httpSourceName
-
リクエストの送信元。使用できる値:
CFAmazon CloudFront の場合、APIGWAmazon API Gateway の場合は、ALB、および Application Load Balancer 用のAPPSYNCforAWS AppSync。 - httpVersion
-
HTTP のバージョン。
- labels
-
ウェブリクエストのラベル。これらのラベルは、リクエストを評価するために使用されたルールによって適用されました。
- limitKey
-
IP アドレスの送信元を示します。AWS WAFは、レートベースのルールによるレート制限リクエストを集約するために使用します。使用できる値は次のとおりです。
IP、Webリクエストオリジン用、FORWARDED_IP、リクエストのヘッダーで転送されたIPの場合。 - 限界値
-
レート制限の要求を集約するためにレートベースのルールによって使用される IP アドレス。リクエストに有効でない IP アドレスが含まれている場合、
limitvalue、INVALID。 - maxRateAllowed
-
5 分間に許可される
limitKeyで指定されたフィールドに同じ値を持つ、リクエストの最大数。リクエストの数がmaxRateAllowedを超え、このルールで指定されるほかの述語が一致した場合、AWS WAF はこのルールで指定されるアクションをトリガーします。 - nonTerminatingMatchingRules
-
リクエストに一致するルールグループ内の終了しないルールのリスト。これは常に COUNT ルール (一致する終了しないルール) です。
- action
-
これは常に COUNT (一致する終了しないルール) です。
- ruleId
-
リクエストに一致して、終了しなかったルールグループ内のルールの ID。これが COUNT ルールです。
- ルールマッチ詳細
-
リクエストに一致したルールに関する詳細情報。このフィールドは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。
- rateBasedRuleId
-
このリクエストで動作したレートベースのルールの ID。このリクエストが終了した場合、
rateBasedRuleIdの ID は、terminatingRuleIdの ID と同じです。 - rateBasedRuleList
-
このリクエストで動作したレートベースのルールのリスト。
- 要求管理者挿入済み
-
カスタムリクエスト処理用に挿入されるヘッダーのリスト。
- requestId
-
基盤となるホストサービスによって生成されるリクエストの ID。Application Load Balancer の場合、これはトレース ID です。他のすべての場合、これはリクエスト ID です。
- レスポンス・コード・セント
-
カスタムレスポンスで送信されたレスポンスコード。
- ruleGroupId
-
ルールグループの ID ルールがリクエストをブロックした場合、
ruleGroupIDの ID は、terminatingRuleIdの ID と同じです。 - ruleGroupList
-
このリクエストで動作したルールグループのリスト。
- terminatingRule
-
リクエストを終了したルールグループ内のルール。これが null 以外の値の場合、ruleIdおよびaction。
- terminatingRuleId
-
リクエストを終了したルールの ID。リクエストを終了したものがない場合、この値は
Default_Actionとなります。 - terminatingRuleMatchDetails
-
リクエストに一致した終了ルールに関する詳細情報。終了ルールには、ウェブリクエストに対する検査プロセスを終了するアクションがあります。ルールを終了する可能性のあるアクションは、次のとおりです。
ALLOWおよびBLOCK。これは、SQL インジェクションおよびクロスサイトスクリプティング (XSS) 一致ルールステートメントに対してのみ設定されます。複数の対象を検査するすべてのルールステートメントと同様、AWS WAF は最初の一致にアクションを適用し、ウェブリクエストの検査を停止します。終了アクションを伴うウェブリクエストには、ログで報告された脅威に加えて、他の脅威が含まれている可能性があります。 - terminatingRuleType
-
リクエストを終了したルールのタイプ。使用できる値: RATE_BASED、GROUP、MANAGED_RULE_GROUP。
- timestamp
-
タイムスタンプ (ミリ秒単位)。
- uri
-
リクエストの URI。上記のコードの例では、このフィールドが編集された場合の値を示しています。
- webaclId
-
ウェブ ACL の GUID。
ログの例
例 SQLi 検出 (終了) でトリガーされたルールのログ出力
{ "timestamp": 1576280412771, "formatVersion": 1, "webaclId": "arn:aws:wafv2:ap-southeast-2:EXAMPLE12345:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE", "terminatingRuleId": "STMTest_SQLi_XSS", "terminatingRuleType": "REGULAR", "action": "BLOCK", "terminatingRuleMatchDetails": [ { "conditionType": "SQL_INJECTION", "location": "HEADER", "matchedData": [ "10", "AND", "1" ] } ], "httpSourceName": "-", "httpSourceId": "-", "ruleGroupList": [], "rateBasedRuleList": [], "nonTerminatingMatchingRules": [], "httpRequest": { "clientIp": "1.1.1.1", "country": "AU", "headers": [ { "name": "Host", "value": "localhost:1989" }, { "name": "User-Agent", "value": "curl/7.61.1" }, { "name": "Accept", "value": "*/*" }, { "name": "x-stm-test", "value": "10 AND 1=1" } ], "uri": "/foo", "args": "", "httpVersion": "HTTP/1.1", "httpMethod": "GET", "requestId": "rid" }, "labels": [ { "name": "value" } ] }
例 SQLi 検出でトリガーされたルールのログ出力 (非終了)
{ "timestamp":1592357192516 ,"formatVersion":1 ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9" ,"terminatingRuleId":"Default_Action" ,"terminatingRuleType":"REGULAR" ,"action":"ALLOW" ,"terminatingRuleMatchDetails":[] ,"httpSourceName":"-" ,"httpSourceId":"-" ,"ruleGroupList":[] ,"rateBasedRuleList":[] ,"nonTerminatingMatchingRules": [{ "ruleId":"TestRule" ,"action":"COUNT" ,"ruleMatchDetails": [{ "conditionType":"SQL_INJECTION" ,"location":"HEADER" ,"matchedData":[ "10" ,"and" ,"1"] }] }] ,"httpRequest":{ "clientIp":"3.3.3.3" ,"country":"US" ,"headers":[ {"name":"Host","value":"localhost:1989"} ,{"name":"User-Agent","value":"curl/7.61.1"} ,{"name":"Accept","value":"*/*"} ,{"name":"foo","value":"10 AND 1=1"} ] ,"uri":"/foo","args":"" ,"httpVersion":"HTTP/1.1" ,"httpMethod":"GET" ,"requestId":"rid" }, "labels": [ { "name": "value" } ] }
例 ルールグループ内でトリガーされた複数のルールのログ出力(ルール-XSS は終了しており、ルール B は終了していません)
{ "timestamp":1592361810888, "formatVersion":1, "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9" ,"terminatingRuleId":"RG-Reference" ,"terminatingRuleType":"GROUP" ,"action":"BLOCK", "terminatingRuleMatchDetails": [{ "conditionType":"XSS" ,"location":"HEADER" ,"matchedData":["<","frameset"] }] ,"httpSourceName":"-" ,"httpSourceId":"-" ,"ruleGroupList": [{ "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b" ,"terminatingRule":{ "ruleId":"RuleA-XSS" ,"action":"BLOCK" ,"ruleMatchDetails":null } ,"nonTerminatingMatchingRules": [{ "ruleId":"RuleB-SQLi" ,"action":"COUNT" ,"ruleMatchDetails": [{ "conditionType":"SQL_INJECTION" ,"location":"HEADER" ,"matchedData":[ "10" ,"and" ,"1"] }] }] ,"excludedRules":null }] ,"rateBasedRuleList":[] ,"nonTerminatingMatchingRules":[] ,"httpRequest":{ "clientIp":"3.3.3.3" ,"country":"US" ,"headers": [ {"name":"Host","value":"localhost:1989"} ,{"name":"User-Agent","value":"curl/7.61.1"} ,{"name":"Accept","value":"*/*"} ,{"name":"xssfoo","value":"<frameset onload=alert(1)>"} ,{"name":"bar","value":"10 AND 1=1"} ] ,"uri":"/foo" ,"args":"" ,"httpVersion":"HTTP/1.1" ,"httpMethod":"GET" ,"requestId":"rid" }, "labels": [ { "name": "value" } ] }
例 コンテンツタイプ JSON のリクエストボディの検査のためにトリガーされたルールのログ出力
AWS WAFは現在、JSON 本体検査の場所をUNKNOWN。
{ "timestamp": 1576280412771, "formatVersion": 1, "webaclId": "arn:aws:wafv2:ap-southeast-2:12345:regional/webacl/test/111", "terminatingRuleId": "STMTest_SQLi_XSS", "terminatingRuleType": "REGULAR", "action": "BLOCK", "terminatingRuleMatchDetails": [ { "conditionType": "SQL_INJECTION", "location": "UNKNOWN", "matchedData": [ "10", "AND", "1" ] } ], "httpSourceName": "ALB", "httpSourceId": "alb", "ruleGroupList": [], "rateBasedRuleList": [], "nonTerminatingMatchingRules": [], "requestHeadersInserted":null, "responseCodeSent":null, "httpRequest": { "clientIp": "1.1.1.1", "country": "AU", "headers": [], "uri": "", "args": "", "httpVersion": "HTTP/1.1", "httpMethod": "POST", "requestId": "null" }, "labels": [ { "name": "value" } ] }
