COLUMN

1. はじめに

AWS WAFを利用する上で、ログを分析することは必須の業務であり、そのためのログの管理は重要なポイントになります。

デフォルトでは、マネジメントコンソール上で1週間分しか確認できません。リアルタイムでの分析には十分かもしれませんが、過去に遡って分析が必要な場合、これでは十分ではありません。

この要件に応えるため、AWS WAFでは、ログの出力先を別のサービスに設定することが可能です。現在の仕様では、出力先はAmazon CloudWatch LogsとAmazon S3、Amazon Data Firehoseの3つから選択することができます。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。

2. ログの出力先

2-1. Amazon CloudWatch Logs

Amazon CloudWatch Logsは、さまざまなソースからログデータを収集、監視、保存、分析するためのサービスです。AWS WAFのログをCloudWatch Logsに出力することで、リアルタイムでの監視、アラート設定、ログデータの検索・分析が容易になります。

特徴として、以下のようなポイントが挙げられます。

• リアルタイム監視：ログイベントがCloudWatch Logsに到達すると、すぐに表示・検索できます
• ロググループ：ログを論理的にグループ化し、管理しやすくします
• CloudWatch Logs Insights：強力なクエリ言語を使って、大量のログデータから特定の情報を抽出・分析できます。これにより、情報セキュリティインシデントの調査やWAFルールのチューニングに役立ちます
• メトリクスフィルタとアラーム：特定のログパターンに基づいてカスタムメトリクスを作成し、しきい値を超えた場合にCloudWatchアラームを設定できます
• 保存期間の管理：ログの保存期間を柔軟に設定できます

短期間のリアルタイム監視、トラブルシューティング、アラート設定、インタラクティブなログ分析に適しています。

2-2. Amazon S3(Simple Storage Service)

Amazon S3は、オブジェクトストレージサービスで、AWS WAFのログを安価かつ耐久性の高いストレージに保存するのに適しています。

特徴として、以下のようなポイントが挙げられます。

• 高い耐久性とスケーラビリティ：ほぼ無制限にデータを保存でき、非常に高い耐久性があります
• 低コスト：大量のログデータを長期的に保存するのに適したコストパフォーマンスを提供します
• データレイクの基盤：S3に保存されたログデータは、Amazon AthenaやAmazon Redshift Spectrumなどの分析ツールを使って、SQLクエリで分析できます。また、機械学習（Amazon SageMaker）やデータウェアハウス（Amazon Redshift）への連携も可能です。
• 暗号化：保存中のデータを暗号化できます

長期的なログのアーカイブ、大規模なデータ分析、情報セキュリティ監査、コンプライアンス要件への対応に適しています。

2-3. Amazon Data Firehose

Amazon Data Firehoseは、ストリーミングデータをS3、Redshift、Amazon OpenSearch Serviceなどの宛先にリアルタイムで転送するためのサービスです。AWS WAFのログをData Firehose経由で出力することで、ログデータの変換や集約を行いながら、指定された宛先に効率的に配信できます。

特徴として、以下のようなポイントが挙げられます。

• リアルタイム配信：ほぼリアルタイムでログデータを指定の宛先に転送します
• データ変換：転送中にAWS Lambdaを使用して、ログデータを変換できます（JSONフォーマットの変更、不要なフィールドの削除など）
• データ形式変換：Apache ParquetやApache ORCなどの列指向形式に変換して、分析効率を向上させることができます
• バッチ処理と圧縮：データをバッチ処理し、圧縮してから宛先に配信することで、コスト削減と転送効率の向上を図ります
• 複数の宛先：S3、Redshift、OpenSearch Serviceなどのさまざまなサービスにログを転送できます

リアルタイムでのログ分析、ログデータの前処理や変換が必要な場合、または複数のサービスにログを配信する必要がある場合に適しています。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。

3. 出力先の設定方法

3-1. Amazon CloudWatch Logs

AWS WAFのコンソールから、対象となるWeb ACLを選択し、管理画面を開きます。「Logging and metrics」タブから、「Logging」の「Enable」をクリックします。

Enable loggingの画面にて、「CloudWatch Logs log group」をチェックし、対象のロググループを選択します。ここで設定するロググループ名は、「aws-waf-logs-」で始まる必要があるので注意してください。

最後に、「Save」ボタンをクリックします。

ログが有効化されたことを確認します。

出力先にCloudWatch Logsを設定した場合、CloudWatch Logs Insightsも有効になります。

出力先に設定したロググループにログが出力されていることが確認できます。

3-2. Amazon S3(Simple Storage Service)

AWS WAFのコンソールから、対象となるWeb ACLを選択し、管理画面を開きます。「Logging and metrics」タブから、「Logging」の「Enable」をクリックします。

Enable loggingの画面にて、「S3 bucket」をチェックし、対象のS3バケットを選択します。ここで設定するS3バケット名は、「aws-waf-logs-」で始まる必要があるので注意してください。

最後に、「Save」ボタンをクリックします。

ログが有効化されたことを確認します。

出力先に設定したS3バケットにログが出力されていることが確認できます。

3-3. Amazon Data Firehose

AWS WAFのコンソールから、対象となるWeb ACLを選択し、管理画面を開きます。「Logging and metrics」タブから、「Logging」の「Enable」をクリックします。

Enable loggingの画面にて、「Amazon Data Firehose stream」をチェックし、対象のFirehoseストリームを選択します。ここで設定するFirehoseストリーム名は、「aws-waf-logs-」で始まる必要があるので注意してください。

最後に、「Save」ボタンをクリックします。

ログが有効化されたことを確認します。

出力先に設定したFirehoseストリームにログが出力されていることが確認できます。配信先のS3バケットにもログが格納されていました。

NTT東日本ではAWSの導入・移行・運用の支援を行っております。詳しくはこちらからお問い合わせください。

4. まとめ

AWS WAFのログの出力先は、ログをどのように利用したいかに応じて選択することができます。元々はData Firehoseだけだった出力先も、CloudWatch LogsやS3が増え、長期保存だけで考えれば簡単に設定ができるようになりました。ただし、ログは保存しておけばよいものでもなく、情報セキュリティ対策を考える上では、定期的な確認や分析が必要です。

本コラムのテーマは長期保存でしたが、ぜひ、ログの利用方法も併せて検討していただければ幸いです。