WAFのBLOCK調査はCloudWatch Logs InsightsでURIとterminatingRuleを集計する / PaPut

mizulba

7日前

WAFのBLOCK調査はCloudWatch Logs InsightsでURIとterminatingRuleを集計する

AWS

デバッグ

WAF

WAFのBLOCK原因を調べる際、CloudWatch Logsの単純な filter-log-events だとJSONのネストやログストリーム都合で拾いにくいことがある。Logs Insightsで URI と terminatingRuleId、検知label(awswaf:managed:...)、request body byte数、検査されたbody byte数を集計すると原因が絞り込める。AWS SSOトークン期限切れの場合は aws sso login --profile <name> で再ログインする。