AWS WAF 是一个 Web 应用程序防火墙,可以监视和控制受保护的 Web 应用程序从客户端收到的 HTTP 和 HTTPS 请求。您可以通过在 AWS WAF Web 访问控制列表(ACL)中配置规则来定义如何处理 Web 请求。然后,您可以通过将 Web ACL 关联到 Web 应用程序来保护该应用程序。您可以使用 AWS WAF 保护的 Web 应用程序资源的示例包括 Amazon CloudFront 分配、Amazon API Gateway REST API 和应用程序负载均衡器。有关 AWS WAF 的更多信息,请参阅《AWS WAF Developer Guide》中的 AWS WAF。
AWS WAF 日志包含您的 Web ACL 所分析的流量相关信息,例如 AWS WAF 从 AWS 资源收到请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。
您可以配置 AWS WAF Web ACL 将日志发布到多个目标中的一个目标,即您可以查询和查看这些日志的地方。有关配置 Web ACL 日志记录和 AWS WAF 日志内容的更多信息,请参阅《AWS WAF Developer Guide》中的 Logging AWS WAF web ACL traffic。
有关如何使用 Athena 分析 AWS WAF 日志以深入了解威胁检测和潜在安全攻击的信息,请参阅 AWS 网络和内容交付博客文章 How to use Amazon Athena queries to analyze AWS WAF logs and provide the visibility needed for threat detection
有关如何将 AWS WAF 日志聚合到中央数据湖存储库并使用 Athena 进行查询的示例,请参阅 AWS 大数据博客文章使用 OpenSearch 服务、Amazon Athena 和 Amazon QuickSight 分析 AWS WAF 日志
本主题提供两个示例 CREATE TABLE 语句:一个使用分区,另一个不使用分区。
注意
本主题中的 CREATE TABLE 语句可以用于 v1 和 v2 AWS WAF 日志。在 v1 中,webaclid 字段包含一个 ID。在 v2 中,webaclid 字段包含完整的 ARN。这里的 CREATE TABLE 语句通过使用 string 数据类型未知地处理此内容。
