记录 Web ACL 流量信息 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

记录 Web ACL 流量信息

警告

AWS WAF Classic 支持将于 2025 年 9 月 30 日结束。

注意

这是 AWS WAF Classic 文档。仅当 2019 年 11 月之前在 AWS WAF 中创建了 AWS WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 AWS WAF Classic 资源迁移到 AWS WAF

有关 AWS WAF 的最新版本,请参阅 AWS WAF

注意

您无法使用 Amazon Security Lake 收集 AWS WAF Classic 数据。

您可以启用日志记录,以获取有关 Web ACL 对流量进行分析的详细信息。日志中所含的信息包括 AWS WAF Classic 接收来自 AWS 资源的请求的时间,有关请求的详细信息,以及每个请求所匹配的规则的操作。

要开始使用,您需要设置 Amazon Kinesis Data Firehose。在这个过程中,您需要选择用于存储日志的目标。接下来,选择您要启用日志记录的 Web ACL。启用日志记录后,AWS WAF 通过 Firehose 将日志传送到您的存储目标。

有关如何使用 Amazon Kinesis Data Firehose 以及如何查看存储的日志的信息,请参阅什么是 Amazon Data Firehose 要了解 Kinesis Data Firehose 配置所需的权限,请参阅 使用 Amazon Kinesis Data Firehose 控制访问

您必须拥有以下权限才能成功启用日志记录:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • waf:PutLoggingConfiguration

有关服务相关角色以及 iam:CreateServiceLinkedRole 权限的更多信息,请参阅对 AWS WAF Classic 使用服务相关角色

为 Web ACL 启用日志记录

  1. 使用以前缀 "aws-waf-logs-" 开头的名称创建 Amazon Kinesis Data Firehose。例如,aws-waf-logs-us-east-2-analytics。使用 PUT 源,在您执行操作的区域中创建 Data Firehose。如果您正在为 Amazon CloudFront 捕获日志,请在美国东部(弗吉尼亚州北部)区域创建。有关更多信息,请参阅创建 Amazon Data Firehose 传输流

    重要

    请勿选择 Kinesis stream 作为源。

    一条 AWS WAF Classic 日志等同于一条 Firehose 记录。如果您通常每秒接收 10,000 个请求并启用了完整日志,您的 Firehose 中应具有每秒 10,000 个记录的设置。如果您未正确配置 Firehose,AWS WAF Classic 将无法记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 限额

  2. 登录 AWS Management Console,然后打开 AWS WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/

    如果您在导航窗格中看到切换到 AWS WAF Classic,请将其选中。

  3. 在导航窗格中,选择 Web ACL

  4. 选择您要启用日志记录的 Web ACL 名称。然后将打开一个页面,其右侧窗格会显示 Web ACL 的详细信息。

  5. 日志记录 选项卡上,选择 启用日志记录

  6. 选择您在第一步中创建的 Kinesis Data Firehose。您必须选择以“aws-waf-logs-”开头的 Firehose。

  7. (可选)如果您不希望在日志中包含特定字段及其值,请编辑这些字段。选择要编辑的字段,然后选择 添加。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 REDACTED。例如,如果您编辑 cookie 字段,则日志中的 cookie 字段将为 REDACTED

  8. 选择启用日志记录

    注意

    成功启用日志记录后,AWS WAF Classic 将使用所需权限创建服务相关角色,以将日志写入到 Amazon Kinesis Data Firehose 中。有关更多信息,请参阅 对 AWS WAF Classic 使用服务相关角色

禁用 Web ACL 的日志记录

  1. 在导航窗格中,选择 Web ACL

  2. 选择您要禁用日志记录的 Web ACL 名称。然后将打开一个页面,其右侧窗格会显示 Web ACL 的详细信息。

  3. 日志记录 选项卡上,选择 禁用日志记录

  4. 在对话框中,选择 禁用日志记录

例 示例日志

{
			
	"timestamp":1533689070589,                            
	"formatVersion":1,                                   
	"webaclId":"385cb038-3a6f-4f2f-ac64-09ab912af590",  
	"terminatingRuleId":"Default_Action",                
	"terminatingRuleType":"REGULAR",                     
	"action":"ALLOW",                                    
	"httpSourceName":"CF",                               
	"httpSourceId":"i-123",                             
	"ruleGroupList":[                                    
                         {  
                          "ruleGroupId":"41f4eb08-4e1b-2985-92b5-e8abf434fad3",
                          "terminatingRule":null,    
                          "nonTerminatingMatchingRules":[                  
                                                         {"action" : "COUNT",   
                                                         "ruleId" : "4659b169-2083-4a91-bbd4-08851a9aaf74"}       
                                                        ],
                          "excludedRules":              [
                                                         {"exclusionType" : "EXCLUDED_AS_COUNT",   
                                                          "ruleId" : "5432a230-0113-5b83-bbb2-89375c5bfa98"}
                                                        ]                          
                         }
                        ],
     
	"rateBasedRuleList":[                                 
                             {  
                              "rateBasedRuleId":"7c968ef6-32ec-4fee-96cc-51198e412e7f",   
                              "limitKey":"IP",
                              "maxRateAllowed":100                                                                                           
                             },
                             {  
                              "rateBasedRuleId":"462b169-2083-4a93-bbd4-08851a9aaf30",
                              "limitKey":"IP",
                              "maxRateAllowed":100
                              }
                              ],
			
	"nonTerminatingMatchingRules":[                                
                                       {"action" : "COUNT",                                                           
                                       "ruleId" : "4659b181-2011-4a91-bbd4-08851a9aaf52"}    
                                      ],
                                  
	"httpRequest":{                                                             
                       "clientIp":"192.10.23.23",                                           
                       "country":"US",                                                         
                       "headers":[                                                                 
                                   {  
                                    "name":"Host",
                                    "value":"127.0.0.1:1989"
                                   },
                                   {  
                                    "name":"User-Agent",
                                    "value":"curl/7.51.2"
                                   },
                                   {  
                                    "name":"Accept",
                                    "value":"*/*"
                                   }
                                 ],
                      "uri":"REDACTED",                                                
                      "args":"usernam=abc",                                         
                      "httpVersion":"HTTP/1.1",
                      "httpMethod":"GET",
                      "requestId":"cloud front Request id"                    
                      }
}

下面是对这些日志中列出的各个项的说明:

时间戳

时间戳,以毫秒为单位。

formatVersion

日志的格式版本。

webaclId

Web ACL 的 GUID。

terminatingRuleId

终止请求的规则的 ID。如果没有任何情况会终止请求,则值为 Default_Action

terminatingRuleType

终止请求的规则的类型。可能的值:RATE_BASED、REGULAR 和 GROUP。

action

操作。终止规则的可能值为:ALLOW 和 BLOCK。COUNT 不是终止规则的有效值。

terminatingRuleMatchDetails

有关与请求匹配的终止规则的详细信息。终止规则具有针对 Web 请求结束检查过程的操作。终止规则的可能操作是 ALLOW 和 BLOCK。这仅适用于 SQL 注入和跨站点脚本 (XSS) 匹配规则语句。与所有用于检查多个事物的规则语句一样,AWS WAF 对第一个匹配应用操作并停止检查 Web 请求。除了日志中报告的威胁之外,具有终止操作的 Web 请求还可能包含其他威胁。

httpSourceName

请求的源。可能的值:CF(如果源为 Amazon CloudFront),APIGW(如果源为 Amazon API Gateway),ALB(如果源为应用程序负载均衡器)。

httpSourceId

源 ID。此字段显示相关 Amazon CloudFront 分配的 ID、API Gateway 的 REST API 或应用程序负载均衡器的名称。

ruleGroupList

对此请求进行操作的规则组的列表。在前面的代码示例中,只有一个。

ruleGroupId

规则组的 ID。如果规则阻止了请求,则 ruleGroupID 的 ID 与 terminatingRuleId 的 ID 相同。

terminatingRule

规则组中终止了请求的规则。如果这是非空值,它还会包含 ruleidaction。在这种情况下,操作将始终为 BLOCK。

nonTerminatingMatchingRules

规则组中与请求匹配的规则列表。这些规则将始终为 COUNT 规则(匹配的非终止规则)。

action (nonTerminatingMatchingRules group)

它将始终为 COUNT(匹配的非终止规则)。

ruleId (nonTerminatingMatchingRules group)

规则组中与请求匹配并且为非终止规则的 ID。即 COUNT 规则。

excludedRules

规则组中您排除的规则的列表。这些规则的操作设置为 COUNT。

exclusionType(excludedRules 组)

一种类型,指示排除的规则具有操作 COUNT。

ruleId(excludedRules 组)

规则组中排除的规则的 ID。

rateBasedRuleList

对请求执行操作的基于速率的规则列表。

rateBasedRuleId

作用于请求的基于速率的规则的 ID。如果这已终止请求,则 rateBasedRuleId 的 ID 与 terminatingRuleId 的 ID 相同。

limitKey

AWS WAF 用于确定请求是否来自单个源因而需要受速率监控的字段。可能的值:IP。

maxRateAllowed

在五分钟内允许的最大请求数,具有与 limitKey 所指定的字段相同的值。如果请求数超过了 maxRateAllowed 并且还满足规则中指定的其他谓词,则 AWS WAF 将触发为此规则指定的操作。

httpRequest

关于请求的元数据。

clientIp

发送请求的客户端的 IP。

country

请求的源国家/地区。如果 AWS WAF 无法确定来源国,则会将此字段设置为 -

标头

标头的列表。

uri

请求的 URI。上述代码示例演示在编辑了此字段时应具有的值。

args

查询字符串。

httpVersion

HTTP 版本。

httpMethod

请求中的 HTTP 方法。

requestId

请求的 ID。