Comment activer et gérer la journalisation AWS WAF avec CloudWatch Logs

AWS WAF vous permet de consigner le trafic de vos ACL web, fournissant des informations détaillées telles que les détails des requêtes, les règles correspondantes et les horodatages. Voici un guide concis pour activer et gérer la journalisation à l’aide d’Amazon CloudWatch Logs.

1. Configuration de la journalisation

• Accédez à la console AWS WAF.
• Sélectionnez l’ACL web souhaitée.
• Cliquez sur Journalisation et métriques et choisissez d’activer la journalisation.
• Définissez la destination comme un groupe de journaux Amazon CloudWatch Logs, ou d’autres destinations prises en charge telles qu’Amazon S3 ou Amazon Kinesis Data Firehose.

2. Options de gestion des journaux

• Rédaction de champs : Protégez les données sensibles en rédigeant des champs comme les chemins URI, les chaînes de requête ou les en-têtes. Les champs rédigés apparaissent comme REDACTED dans les journaux.
• Filtrage des journaux : Appliquez des filtres pour ne consigner que certaines requêtes web spécifiques basées sur des critères tels que l’action de la règle ou les étiquettes.

3. Analyse des journaux

• Les requêtes web entrantes.
• Les règles correspondantes et leurs actions.
• Détails comme l’adresse IP, la méthode HTTP, et les en-têtes.

4. Surveillance et alertes

• Définir des alarmes basées sur des métriques spécifiques.
• Créer des tableaux de bord pour visualiser les tendances de trafic en temps réel.