기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 로그 구문 분석기 옵션
<a name="log-parser-options"></a>

[아키텍처 개요](architecture-overview.md)에 설명된 대로 HTTP flood와 스캐너 및 프로브 보호를 처리하는 세 가지 옵션이 있습니다. 다음 섹션에서는 이러한 각 옵션에 대해 자세히 설명합니다.

## AWS WAF 속도 기반 규칙
<a name="aws-waf-rate-based-rule"></a>

HTTP 플러드 보호에는 속도 기반 규칙을 사용할 수 있습니다. 기본적으로 속도 기반 규칙은 요청 IP 주소에 기반하여 요청을 집계하고 속도를 제한합니다. 이 솔루션을 사용하면 클라이언트 IP가 지속적으로 업데이트된 후행 5분 동안 허용하는 웹 요청 수를 지정할 수 있습니다. IP 주소가 구성된 할당량을 위반하면 AWS WAF는 요청 속도가 구성된 할당량보다 작을 때까지 차단된 새 요청을 차단합니다.

요청 할당량이 5분당 요청 2,000개를 초과하고 사용자 지정을 구현할 필요가 없는 경우 속도 기반 규칙 옵션을 선택하는 것이 좋습니다. 예를 들어 요청을 계산할 때 정적 리소스 액세스를 고려하지 않습니다.

다른 다양한 집계 키와 키 조합을 사용하도록 규칙을 추가로 구성할 수 있습니다. 자세한 내용은 [집계 옵션 및 키를 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html).

## Amazon Athena 로그 구문 분석기
<a name="amazon-athena-log-parser"></a>

**HTTP Flood Protection**과 **스캐너 및 프로브** **보호** 템플릿 파라미터 모두 Athena 로그 구문 분석기 옵션을 제공합니다. 활성화되면 CloudFormation은 Athena 쿼리와 Athena가 AWS WAF를 실행, 결과 출력 처리 및 업데이트하도록 오케스트레이션하는 예약된 Lambda 함수를 프로비저닝합니다. 이 Lambda 함수는 5분마다 실행되도록 구성된 CloudWatch 이벤트에 의해 호출됩니다. 이는 **Athena 쿼리 실행 시간 일정** 파라미터로 구성할 수 있습니다.

AWS WAF 속도 기반 규칙을 사용할 수 없고 SQL에 익숙하여 사용자 지정을 구현하는 경우이 옵션을 선택하는 것이 좋습니다. 기본 쿼리를 변경하는 방법에 대한 자세한 내용은 [ Amazon Athena 쿼리 보기를](view-amazon-athena-queries.md) 참조하세요.

HTTP 플러드 보호는 AWS WAF 액세스 로그 처리를 기반으로 하며 WAF 로그 파일을 사용합니다. WAF 액세스 로그 유형은 지연 시간이 더 짧으므로 CloudFront 또는 ALB 로그 전송 시간에 비해 HTTP 플러드 오리진을 더 빠르게 식별하는 데 사용할 수 있습니다. 하지만 응답 상태 코드를 수신하려면 **스캐너 및 프로브 보호 활성화** 템플릿 파라미터에서 CloudFront 또는 ALB 로그 유형을 선택해야 합니다.

**참고**  
잘못된 봇이 허니팟을 우회하고 ALB 또는 CloudFront와 직접 상호 작용하는 경우 HTTP Flood Protection과 스캐너 및 프로브 보호가 모두 Lambda 로그 파서를 사용하지 않는 경우를 제외하고 시스템은 로그 분석을 통해 악의적인 동작을 감지합니다.

## AWS Lambda 로그 구문 분석기
<a name="aws-lambda-log-parser"></a>

**HTTP Flood Protection** 및 **스캐너 및 프로브 보호** 템플릿 파라미터는 **AWS Lambda 로그 구문 분석기** 옵션을 제공합니다. **AWS WAF 속도 기반 규칙** 및 **Amazon Athena 로그 구문 분석기 옵션을 사용할 수 없는 경우에만 Lambda 로그 구문 분석기를** 사용합니다. 이 옵션의 알려진 제한 사항은 처리 중인 파일의 컨텍스트 내에서 정보가 처리된다는 것입니다. 예를 들어 IP는 정의된 할당량보다 더 많은 요청이나 오류를 생성할 수 있지만,이 정보는 서로 다른 파일로 분할되므로 각 파일은 할당량을 초과할 만큼 충분한 데이터를 저장하지 않습니다.

**참고**  
또한 잘못된 봇이 허니팟을 우회하고 ALB 또는 CloudFront와 직접 상호 작용하는 경우 탐지는 선택한 로그 파서 옵션을 사용하여 악의적인 활동을 효과적으로 식별하고 차단합니다.