ハマログ

株式会社イーツー・インフォの社員ブログ

AWS WAFのログを調査する

403 Forbiddenが発生したので調査。

そのサービスではAWS WAFを使用おり、WAFによってブロックされていました。

今回はその調査方法を紹介します。

まずはWAFのログをS3に保存します。

こちらに関しては以下のサイトが参考になります。

https://dev.classmethod.jp/articles/awf-waf-comprehensive-logging/

次にAthenaを使用してログを分析できるようにします。

これに関しては以下のサイトが詳しいです。

https://dev.classmethod.jp/articles/query-aws-waf-full-log-by-athena/

上記参考の2サイトでもはや十分なのですが、参考までに私が使用したクエリを紹介します。

やりたいこと
→ 7/28にWAFによりブロックされた日本からのアクセスが知りたい

SELECT from_unixtime(timestamp/1000, 'Asia/Tokyo') AS JST,
       httpsourcename,
       httpsourceid,
       terminatingruleid,
       httprequest.clientip,
       httprequest.country,
       httprequest.uri,
       httprequest.args,
       httprequest.httpmethod
FROM waflogs 
WHERE date(from_unixtime(timestamp/1000, 'Asia/Tokyo'))  = date '2021-07-28'
AND action = 'BLOCK'
AND httpRequest.country = 'JP'
 ORDER BY timestamp;

こんな感じで抽出できました。

日時を変換するのが少し面倒ですね。

こちらからは以上です。

AWS WAF

  as   2021年7月29日


関連記事

Amazon Linux/Amazon Linux2の初回起動時のセキュリティ自動更新を停止する

はじめに 運用しているAmazon Linuxのサーバーで、yum update…

AWS の暗号化オプションを整理してみる

こんにちは、現在私はAWS Developer Associate試験に向けて勉…

AWSのみでドメイン間のリダイレクトを設定する(httpのみバージョン)

はじめにのはじめに ・ALBを利用している場合、Route53+ALBでドメイン…


← 前の投稿

次の投稿 →