참조자, IP 주소 또는 일치하는 규칙 개수

이 섹션의 예제에서는 관심 있는 로그 항목의 개수를 쿼리합니다.

Count the number of referrers that contain a specified term
Count all matched IP addresses in the last 10 days that have matched excluded rules
Group all counted managed rules by the number of times matched
Group all counted custom rules by number of times matched

예
- 지정된 용어를 포함하는 참조자 수 계산

다음 쿼리는 지정된 날짜 범위에서 “amazon”이라는 용어를 포함한 참조자의 수를 셉니다.


WITH test_dataset AS 
  (SELECT header FROM waf_logs
    CROSS JOIN UNNEST(httprequest.headers) AS t(header) WHERE "date" >= '2021/03/01'
    AND "date" < '2021/03/31')
SELECT COUNT(*) referer_count 
FROM test_dataset 
WHERE LOWER(header.name)='referer' AND header.value LIKE '%amazon%'

예
- 지난 10일 동안 제외된 규칙과 일치하는 모든 IP 주소 계산

다음 쿼리는 지난 10일 동안 IP 주소가 규칙 그룹에서 제외된 규칙과 일치하는 횟수를 셉니다.


WITH test_dataset AS 
  (SELECT * FROM waf_logs 
    CROSS JOIN UNNEST(rulegrouplist) AS t(allrulegroups))
SELECT 
  COUNT(*) AS count, 
  "httprequest"."clientip", 
  "allrulegroups"."excludedrules",
  "allrulegroups"."ruleGroupId"
FROM test_dataset 
WHERE allrulegroups.excludedrules IS NOT NULL AND from_unixtime(timestamp/1000) > now() - interval '10' day
GROUP BY "httprequest"."clientip", "allrulegroups"."ruleGroupId", "allrulegroups"."excludedrules"
ORDER BY count DESC

예
- 일치하는 횟수를 기준으로 계산된 모든 관리형 규칙 그룹화

2022년 10월 27일 이전에 웹 ACL 구성에서 규칙 그룹 규칙 작업을 개수로 설정한 경우 AWS WAF에서는 재정의를 웹 ACL JSON에 excludedRules로 저장했습니다. 이제 규칙을 개수로 재정의하기 위한 JSON 설정은 ruleActionOverrides 설정에 있습니다. 자세한 내용은 AWS WAF 개발자 안내서의 Action overrides in rule groups를 참조하세요. 새 로그 구조에서 개수 모드의 관리형 규칙을 추출하려면 다음 예제와 같이 excludedRules 필드 대신 ruleGroupList 섹션에서 nonTerminatingMatchingRules를 쿼리합니다.


SELECT
 count(*) AS count,
 httpsourceid,
 httprequest.clientip,
 t.rulegroupid, 
 t.nonTerminatingMatchingRules
FROM "waf_logs" 
CROSS JOIN UNNEST(rulegrouplist) AS t(t) 
WHERE action <> 'BLOCK' AND cardinality(t.nonTerminatingMatchingRules) > 0 
GROUP BY t.nonTerminatingMatchingRules, action, httpsourceid, httprequest.clientip, t.rulegroupid 
ORDER BY "count" DESC 
Limit 50

예
- 일치하는 횟수를 기준으로 계산된 모든 사용자 지정 규칙 그룹화

다음 쿼리는 일치하는 횟수를 기준으로 계산된 모든 사용자 지정 규칙을 그룹화합니다.


SELECT
  count(*) AS count,
         httpsourceid,
         httprequest.clientip,
         t.ruleid,
         t.action
FROM "waf_logs" 
CROSS JOIN UNNEST(nonterminatingmatchingrules) AS t(t) 
WHERE action <> 'BLOCK' AND cardinality(nonTerminatingMatchingRules) > 0 
GROUP BY t.ruleid, t.action, httpsourceid, httprequest.clientip 
ORDER BY "count" DESC
Limit 50

사용자 지정 규칙 및 관리형 규칙 그룹의 로그 위치에 대한 자세한 내용은 AWS WAF 개발자 안내서의 Monitoring and tuning을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

쿼리 예제

날짜 및 시간을 사용한 쿼리

참조자, IP 주소 또는 일치하는 규칙 개수

예 - 지정된 용어를 포함하는 참조자 수 계산

예 - 지난 10일 동안 제외된 규칙과 일치하는 모든 IP 주소 계산

예 - 일치하는 횟수를 기준으로 계산된 모든 관리형 규칙 그룹화

예 - 일치하는 횟수를 기준으로 계산된 모든 사용자 지정 규칙 그룹화

예
- 지정된 용어를 포함하는 참조자 수 계산

예
- 지난 10일 동안 제외된 규칙과 일치하는 모든 IP 주소 계산

예
- 일치하는 횟수를 기준으로 계산된 모든 관리형 규칙 그룹화

예
- 일치하는 횟수를 기준으로 계산된 모든 사용자 지정 규칙 그룹화