AWS WAF v2Old PlanNew PlanLegacyUsage
RuleポリシーにてLegacyを選択されているWAF Configでのログ・通知設定の方法について説明します。
この場合の設定項目は、3つあります。
WAF Configの設定完了後も、詳細画面にある [編集] ボタンをクリックすることで各種設定項目の変更や追加が可能です。
ALBやCloudFrontなどのアクセスログをS3バケットに出力し、WafCharmへ連携するための設定です。
アクセスログを連携することで、Webリクエスト数の集計や、提供されるログに対して再マッチングをし、動的にIPアドレスをDenylistに追加する機能を提供できるようになります。
1つのWeb ACLに紐づくリソースが複数ある場合には、そのリソース分Web Site Configをご登録ください。
管理用の項目のため、任意の値で問題ありません。お客様にて管理いただく上でわかりやすい値をご入力ください。
CloudFrontのアクセスログを S3://bucket-name/optional-prefix/
というパス以下に出力している場合、このパス全体を記載します。
ALBのアクセスログを S3://bucket-name/optional-prefix/AWSLogs/aws-account-id/elasticloadbalancing/region/
というパス以下に出力している場合、このパス全体を記載します。
WAF Configと同じクレデンシャル情報を使用する場合は、 [基本設定のCredentialを再利用する] にチェックを入れてください。
別のクレデンシャル情報を使用する場合は、[基本設定のCredentialを再利用する] からチェックを外し、プルダウンから登録済みのクレデンシャル情報を選択するか、 [新規クレデンシャルを登録する] から新規作成してください。
同じWeb ACLに紐づくリソース(ALBやCloudFront)が複数あり、Web Site Config(アクセスログの出力先)を複数登録したい場合には、[Web Site Configを追加] をクリックして設定項目を増やしてください。
誤って追加してしまった場合はWeb Site Config枠内の右下にあるゴミ箱ボタンをクリックして削除可能です。
FQDNは登録時に指定した値が表示されています。
WAFログ連携には、新方式と旧方式があります。
新方式は、チェックボックスにチェックをいれ、WAFログ連携にオプトインすることでWAFログを連携できる方法です。
旧方式は、WafCharmダッシュボードにてご提供しておりましたLambdaを用いてWAFログを転送する方法です。
Legacyでのご利用の場合、旧方式でもご利用いただけますが、新方式へ切り替えることをおすすめします。
※現在、旧プランのお客様につきましては、新方式での連携を限定させて頂いております。連携の開始および解除をご希望される際は、お手数ですがWafCharmサポートまでお問い合わせください。
WAFログ連携の設定は、任意です。もしWAFログ連携設定を実施したくない場合は、 [WAFログ連携] のタブ上ではチェックボックスにチェックを入れないままにした上で、WAF Configの登録を行ってください。また、その後の旧方式のLambdaの設定を実施しないようにしてください。
新方式でWAFログを連携することにより、Dashboard画面の検知状況や、WAFログ検索機能、月次レポート機能、WAFログアラート(検知通知)機能が有効になります。
※現在、旧プランのお客様につきましては、新方式での連携を限定させて頂いております。連携の開始および解除をご希望される際は、お手数ですが以下の情報(WAF ConfigごとのWAFログ出力先詳細)を添えてサポートまでお問い合わせください。
新方式で設定を行う場合、事前に以下の点についてご確認ください。
例えば、 csc-waftest
というS3バケットに出力している場合、 [S3 Bucket Name] の箇所には csc-waftest
とご入力ください。
プレフィックスを指定している場合、 [S3 Prefix] の箇所にData Firehose上で設定したプレフィックスの値をご記載ください。
なお、Data Firehose経由の場合、Data Firehoseから出力している先のS3バケットの情報をご入力ください。
Amazon Data Firehoseを使用している場合、S3バケットのプレフィックスを指定可能です。S3バケットのプレフィックスは、 waflogs/
などの一般的なパス以外に、timestamp名前空間などが用意されていますが、WafCharmでは以下の形式にのみ対応しています。
waflogs/
や firehoselogs/
などの一般的なパスYYYY/MM/DD/HH
を追加したプレフィックスwaflogs/YYYY/MM/DD/HH
なお、以下のようなtimestamp名前空間には対応しておりません。以下のようなプレフィックスを設定された場合、WafCharmにて新方式での連携を行なった場合でも、WAFログのダウンロードができなくなりますのであらかじめご了承ください。
waflog/year=!{timestamp:yyyy}/month=!{timestamp:MM}/day=!{timestamp:dd}/hour=!{timestamp:HH}/
waflog/!{timestamp:yyyy}/!{timestamp:MM}/!{timestamp:dd}/!{timestamp:HH}/
以下をご参考ください。
WAFログ連携(旧方式)の設定方法 (AWS WAF v2)
WAFログアラート設定は、旧管理画面のNotification画面に該当します。
WAFログ連携(旧方式あるいは新方式)を設定している場合に、本設定を有効にすると、指定したメールアドレス宛に検知通知メールが送信されます。