すこぶる.net

技術系備忘録など

AWS WAF

【AWS WAF】検知したリクエストをCloudWatch Logs で確認する

投稿日:2023年3月25日 更新日:

AWS WAF で検知、ブロックしたリクエストを CloudWatch Logs で確認する

AWS で CloudFront や ALB に WAF を設定した際に、WAFで検知したリクエストの詳細を知りたい場合に CloudWatch Logs を使用します。
しかし、大量のログを吐くとなると CloudWatch Logs の料金が非常に高くなってしまいます。

WAF の Logging の設定内容を見れば分かるのですが、フィルタを掛けて検知したものだけを出力するような設定を記します。

対応

「Log filters」で「Rule action: COUNT」もしくは「Rule action: BLOCK」のみを残すように「Keep in logs」に設定し、その他はドロップするように設定します。
※ ちなみに CloudWatch Logs のロググループは ”aws-waf-logs-” で始まる名前のグループしか認識しないようです。
また「Sampled requests for web ACL default actions」は Disabled にしておくと、コンソールの 「Overview」で見れる「Sampled requests」も(ログの量によりますが)見やすくなると思います。

たったこれだけのことですが後々WAFのロギングで想定外のコストがかからないように注意したいところです。

-AWS, WAF
-, , ,

執筆者:

関連記事

【AWS WAF】複数の特定パスだけ除外して Rate-based rule を設定する方法

AWS WAF を使って複数の特定のページ(パス)を除外した Rate-based rule を設定する方法 CloudFront や ALB に対して WAF をアタッチして Rate-based …

【Nginx】Amazon S3へリバースプロキシ

Nginx から Amazon S3 へリバースプロキシ 今回は Nginx から Amazon S3 へリバースプロキシする方法について触れたいと思います。 ( 以前はプライベートな S3 へのリバ …

【AWS Lightsail】データベースのタイムゾーン変更方法

Amazon Lightsail のデータベースのタイムゾーン変更方法について Amazon Lightsail のデーターベースを使っているときに、time_zone を UTC から Asia/T …

DNSの多段CNAMEとRoute53のエイリアスレコードとは

多段 CNAME とは 多段 CNAME とは、 DNS において、 CNAME レコードに別の CNAME レコードを登録することです。 具体的には以下のようなレコードを多段 CNAME といいます …

NginxからプライベートのS3にリバースプロキシ

概要 Nginx から AWS にあるプライベートな S3 のバケットにリバースプロキシしたいという要件があったため、その方法をご紹介します。 AWS にある EC2 上からであれば、IAM Role …