Firewall Manager での AWS WAF ポリシーのログ記録の有効化 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

Firewall Manager での AWS WAF ポリシーのログ記録の有効化

次の手順で、Firewall Manager コンソールから AWS WAF ポリシーのためにログ記録を有効化する方法について説明します。

AWS WAF ポリシーのログ記録を有効にするには

  1. ログ記録を有効にする前に、次のようにログ記録の出力先リソースを設定する必要があります。

    • Amazon Kinesis Data Streams – Firewall Manager 管理者アカウントを使用して Amazon Data Firehose を作成します。プレフィックス aws-waf-logs- で始まる名前を使用します。例えば、aws-waf-logs-firewall-manager-central。自分が操作しているリージョン内で、PUT ソースを使用して Data Firehose を作成します。Amazon CloudFront のログをキャプチャしている場合は、米国東部 (バージニア北部) に Firehose を作成します。それを使用する前に、配信ストリームをテストして、組織のログに対応するのに十分なスループットがあることを確認します。詳細については、「Creating an Amazon Data Firehose Delivery Stream」を参照してください。

    • Amazon Simple Storage Service バケット – 「AWS WAF デベロッパーガイド」の「Amazon Simple Storage Service」トピックにあるガイドラインに従って、Amazon S3 バケットを作成します。また、Amazon S3 に対しログを発行するためのアクセス許可 に一覧されているアクセス許可を使用して、Amazon S3 バケットを設定する必要があります。

  2. Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fmsv2 で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

  3. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  4. ログ記録を有効にする AWS WAF ポリシーを選択します。AWS WAF ログ記録の詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

  5. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  6. [ログ記録設定] で、[ログ記録を有効にする] を選択してログ記録をオンにします。ログ記録は、ウェブ ACL で分析されるトラフィックに関する詳細情報を提供します。[ログの出力先] を選択し、設定したログ記録の送信先を選択します。名前が aws-waf-logs- で始まるログ記録先を選択する必要があります。AWS WAF でのログ記録の目的地設定については、Firewall Manager での AWS WAF ポリシーの使用 を参照してください。

  7. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドをマスキングします。マスキングするフィールドを選び、[Add] (追加) を選択します。必要に応じて手順を繰り返し、追加のフィールドをマスキングします。マスキングされたフィールドは、ログに REDACTED と表示されます。例えば、[URI] フィールドをマスキングすると、ログの [URI] フィールドは REDACTED となります。

  8. (オプション) すべてのリクエストをログに送信しない場合は、フィルタリング条件と動作を追加します。[Filter logs] (ログをフィルタリング) で、適用する各フィルターについて [Add filter] (フィルターを追加) を選択し、次にフィルター基準を選択して、基準に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が完了したら、必要に応じて、[Default logging behavior] (デフォルトのログ記録動作) を変更します。詳細については、「AWS WAF デベロッパーガイド」の 保護パック (ウェブ ACL) レコードの検索 を参照してください。

  9. [次へ] を選択します。

  10. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。