Web Application Firewall (WAF) ログは、ネットワークトラフィックとセキュリティイベントの記録と分析に不可欠なツールです。 これらは、潜在的な脅威の特定、セキュリティ監査の実施、およびコンプライアンスの確保に不可欠です。 ただし、ログストレージの使用量が上限に達すると、ログを記録できなくなります。これは、セキュリティの監視とイベントへの対応に影響します。 このトピックでは、ログストレージの使用量が上限に達した場合の一般的なソリューションについて説明します。
背景情報
WAFログは、webアプリケーションへのすべてのアクセス要求とファイアウォールの応答を記録します。 これらのログには、攻撃の検出、フィルタリング、およびブロックに関する詳細情報が含まれます。 十分なログストレージ容量により、すべてのセキュリティイベントが完全に記録され、管理者が詳細な分析と監査を実行できるようになります。 ログストレージの使用量が上限に達すると、次の影響が発生する可能性があります。
ログ損失
ログ使用量が上限に達すると、新しいログを記録できなくなり、重要なセキュリティイベント情報が失われます。
セキュリティの脅威をタイムリーに検出できない
他のセキュリティ分析サービスがWAFログに依存しており、新しいログを記録できない場合、潜在的なセキュリティ脅威が検出されず、タイムリーに対応できず、セキュリティリスクが増大する可能性があります。
コンプライアンスの問題
特定の業界や規制では、企業は監査用のログを保持する必要があります。 ログ使用量が上限に達すると、新しいログを記録できなくなり、コンプライアンスの問題が発生する可能性があります。
方法
WAFログ使用量が上限に達すると、次の4つの方法が一般的に使用されます。
ログストレージ容量のアップグレード
ログストレージ容量のアップグレードは、最も直接的なソリューションです。 より大きなストレージ容量を設定することで、すべてのセキュリティイベントとネットワークトラフィックを記録するのに十分な容量をWAFに確保できます。 詳細については、「ログストレージスペースのアップグレード」をご参照ください。
ストレージスペースの使用量を減らすためのきめ細かい設定
さまざまなビジネスの重要性に基づいてログ記録ポリシーを設定することで、ストレージスペースの使用量を減らすことができます。 たとえば、重要でないビジネスの場合、攻撃ログと必須フィールドのみ、または少数のオプションフィールドが記録されます。 詳細については、「ストレージスペースの使用量を減らすためのきめ細かい設定」をご参照ください。
ログの保存期間を短縮
ログ保存期間の最適化も効果的な方法です。 ビジネスニーズに基づいて、ログの保持期間を短縮すると、ストレージスペースの使用量を減らすことができます。 たとえば、ログ保存期間を30日から7日に短縮すると、重要なデータを失うことなく、ストレージ容量を大幅に節約できます。 詳細については、「ログの保存期間の短縮」をご参照ください。
ログインデックスのフィールドを減らす
「インデックスの自動更新」機能を無効にし、不要なフィールドインデックスを削除すると、インデックススペースの使用量を大幅に削減できます。 インデックスはログの迅速なクエリと分析に役立ちますが、多くのストレージスペースも消費します。 インデックス設定を最適化することで、クエリ効率を確保しながらストレージスペースの使用量を削減できます。 詳細については、「ログインデックスフィールドの削減」をご参照ください。
ログストレージスペースのアップグレード
Pro、Enterprise、およびUltimateエディションのサブスクリプションインスタンスのみが、ログストレージ容量の表示とアップグレードをサポートしています。 従量課金インスタンスは実際の使用量に基づいて課金され、料金はSimple Log Serviceによって決済されるため、容量制限はなく、ログ容量を個別に設定する必要もありません。
にログインします。Web Application Firewall 3.0コンソール,左側のナビゲーションバーで、をクリックし、ストレージのアップグレード右上隅にあります。
より大きなログストレージ容量の仕様を選択し、購入を完了します。
きめ細かい設定でストレージスペースの使用量を減らす
LogShipperの設定は、個々の保護されたオブジェクトの詳細なフィールド構成とログストレージクラスの設定をサポートします。 保護されたオブジェクトに対して特定のフィールドとログストレージクラスが設定されている場合、設定されたフィールドの優先度はデフォルトのフィールド設定よりも高くなります。
にログインします。Web Application Firewall 3.0コンソール,左側のナビゲーションバーで、をクリックし、 右上隅にあります。
配信設定 タブで、保護されたオブジェクトの Simple Log Service 配信フィールド 列の フィールド設定 をクリックし、次の表に示すように設定を完了します。
パラメーター
説明
必須フィールド
必須フィールドは常にWAFログに含まれます。 必須フィールドは変更できません。
オプションのフィールド
オプションのフィールドは、設定に基づいてWAFログに含まれます。 WAFログには、有効にするオプションのフィールドが含まれます。
説明WAFログのストレージ使用量は、有効にするオプションフィールドの数とともに増加します。 十分なログストレージ容量がある場合は、より包括的な方法でログを分析するために、より多くのオプションフィールドを有効にすることを推奨します。
ログタイプ
有効な値は、フルログ、ブロックログ、ブロックログとモニターログです。 ログストレージ容量に基づいて値を選択できます。 監視要件とストレージコスト管理の要件のバランスをとる値を選択することを推奨します。
フルログ: 通常のリクエスト、疑わしいリクエスト、ブロックされた攻撃リクエストなど、すべてのリクエストが記録されます。 包括的な監査と分析が必要な場合は、この値を選択することを推奨します。
ブロックログ: WAFによってブロックされた攻撃リクエストのみが記録されます。 セキュリティイベントが懸念され、重要性の低いログがログストレージを占有しないようにする場合は、この値を選択することを推奨します。
ブロックおよび監視ログ: WAFによって疑わしいとマークされたリクエストと、ブロックされた攻撃リクエストが記録されます。 潜在的な脅威を監視し、ログストレージの使用量を減らす場合は、この値を選択することを推奨します。
重要でないビジネスの場合、ストレージスペースの使用量を減らすために、攻撃ログと必須フィールド、または少数のオプションフィールドのみを記録する必要があります。 LogShipperフィールドを設定したら、[OK] をクリックします。 [操作は成功しました] メッセージが表示されると、個々の保護オブジェクトに対して現在の設定が有効になります。
ログ保存期間の短縮
にログインします。Web Application Firewall 3.0コンソール,左側のナビゲーションバーで、をクリックし、保存期間右上隅にシンプルなログサービスコンソールにアクセスします。
Logstore [属性] パネルで、右上隅の [変更] をクリックし、[データ保持期間] を短縮し、[保存] をクリックします。
重要ログの保持期間を調整するときは、データ保持不足によるコンプライアンスの問題を回避するために、関連する規制およびコンプライアンス要件に準拠していることを確認してください。
ログの保存期間が設定された日数に達すると、その期間を超えたログは自動的に削除されます。
ログインデックスフィールドの削減
Simple Log Serviceコンソールにログインし、[プロジェクトリスト] 領域で、
wafng
で始まる対象プロジェクトをクリックします。左側のナビゲーションバーで [ログストレージ] をクリックし、[ログストア] リストで対象のログストアをクリックします。
Logstoreのクエリと分析ページで、 を選択します。
検索と分析パネルで、自動更新スイッチを無効にします。
現在のLogstoreがクラウドプロダクト用の特別なLogstoreまたは内部Logstoreである場合、インデックス自動更新スイッチはデフォルトで有効になっています。 この場合、[フィールド検索] エリアは無効になります。
警告Simple Log Serviceでカスタムレポートとアラートを設定した場合、WAF製品の専用Logstoreのインデックスを削除すると、カスタムレポートとアラートに影響を与える可能性があります。
インデックスを削除します。 自動更新スイッチを無効にした後、[フィールド検索] エリアで不要なフィールドインデックスを削除できます。 インデックスを削除したら、[OK] をクリックします。