RuleGroupって何だ?

表題の通り。ManagementConsoleと見比べてみてもよくわからなかった。

■ 環境

  • AWS WAF
  • awscli 1.15.70
  • macOS High Sierra

■ aws waf-regional help

`help`でサブコマンドの一覧を見ていて、”rule-group“ってなんだろう?となった。

$ aws waf-regional help

rule-group“を含むサブコマンドは下記があるようだ。

  • create-rule-group
  • delete-rule-group
  • get-rule-group
  • list-activated-rules-in-rule-group
  • list-rule-groups
  • list-subscribed-rule-groups
  • update-rule-group

なんだろう?と悩んでいたが、これはどうやらManagementRuleのことのようだ。まぁわかったからって何もないのだが…。一旦ManagementRuleは使用しないので無視で良いだろう。

以上。

WebACLが設定されているリソースの取得

AWS WAFにおいて表題を知りたい。

■ 環境

  • AWS WAF
  • awscli 1.15.70
  • macOS High Sierra

■ ManagementConsole

WAFの画面を確認すると、WebACLを選択した後の”Rules“タブにおける下の方に”AWS resources using this web ACL“がある。これを`aws`コマンドで取得したい。

■ aws waf-regionsl

下記のように取得することができる。必須パラメータは”–web-acl-id”なので、これは以前のエントリで取得する。

$ aws waf-regional list-resources-for-web-acl --web-acl-id XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
{
    "ResourceArns": [
        "arn:aws:elasticloadbalancing:ap-northeast-1:XXXXXXXXXXXX:loadbalancer/app/example/XXXXXXXXXXXXXXXX"
    ]
}
$

これより、設定されている対象は”example“という名称の”ALB“であることがわかる。

以上。

■ 関連

WebACL IDの取得

WebACL IDの取得

AWS WAFにおいて表題の通り。AWS WAFを使い始めた。

■ 環境

  • AWS WAF
  • awscli 1.15.60
  • macOS High Sierra

■ list-web-acls

下記でWebACLの一覧を取得できる。その中で”WebACL ID“も取得ができる。

$ aws waf-regional list-web-acls
{
    "NextMarker": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX",
    "WebACLs": [
        {
            "WebACLId": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX1",
            "Name": "example1"
        },
        {
            "WebACLId": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX2",
            "Name": "example2"
        },
        {
            "WebACLId": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX3",
            "Name": "example3"
        }
    ]
}
$

上記はALBに設定可能なWebACLの一覧である。また”region“は”ap-northeast-1“を設定ファイルで書いているので省略している。

■ get-web-acl

WebACL ID“がわからないと取得すらできないが…。

$ aws waf-regional get-web-acl --web-acl-id XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX1
{
    "WebACL": {
        "WebACLId": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX1",
        "Name": "example1",
        "MetricName": "example1",
        "DefaultAction": {
            "Type": "ALLOW"
        },
        "Rules": [
            {
  :

以上。

■ 関連

WebACLが設定されているリソースの取得

AWS WAF metrics

表題の件についてのメモ。

■ 環境

  • AWS WAF
  • CloudWatch
  • awscli 1.11.80

■ list-metrics

まずはどんなメトリクスがあるのかを調べる。

$ aws cloudwatch list-metrics --namespace WAF

`–namespace WAF`を入れないと、全メトリクスが取得できてしまうので絞る。自身の環境の場合は下記のようなレスポンスが得られた。

$ aws cloudwatch list-metrics --namespace WAF
{
    "Metrics": [
        {
            "Namespace": "WAF",
            "Dimensions": [
                {
                    "Name": "WebACL",
                    "Value": "withsintest"
                },
                {
                    "Name": "Region",
                    "Value": "ap-northeast-1"
                },
                {
                    "Name": "Rule",
                    "Value": "testrule1"
                }
            ],
            "MetricName": "BlockedRequests"
        },
        {
            "Namespace": "WAF",
            "Dimensions": [
                {
                    "Name": "WebACL",
                    "Value": "withsintest"
                },
                {
                    "Name": "Region",
                    "Value": "ap-northeast-1"
                },
                {
                    "Name": "Rule",
                    "Value": "ALL"
                }
            ],
            "MetricName": "BlockedRequests"
        }
    ]
}
$

■ get-metric-statistics

続いてこれらのメトリクスデータを取得する。

$ aws cloudwatch get-metric-statistics

オプションが多々必要なようである。

  • –namespace WAF
  • –metric-name BlockedRequests
  • –start-time 2017-04-24T15:00:00Z
  • –end-time 2017-04-25T15:00:00Z
  • –period 3600

これら必須のオプションだけで取得できるかと思いきや、下記エラーが出た。

An error occurred (InvalidParameterCombination) when calling the GetMetricStatistics operation: At least one of the parameters Statistics and ExtendedStatistics must be specified.
  • –statistics Sum

これを追加したところ、エラーは出なくなったがデータは何も取得できず。

{
    "Datapoints": [],
    "Label": "BlockedRequests"
}

上記のように空である。続いて書きオプションも追加。

  • –dimensions

これも指定する必要がありそうだ。”MetricName“が同じだから”Dimensions“で判断するしかないということか。と自身の中では納得し、結果下記のように実行。

$ aws cloudwatch get-metric-statistics \
--namespace WAF \
--metric-name BlockedRequests \
--start-time 2017-04-24T15:00:00Z \
--end-time 2017-04-205T15:00:00Z \
--period 3600 \
--statistics Sum \
--dimensions Name=WebACL,Value=withsintest Name=Region,Value=ap-northeast-1 Name=Rule,Value=ALL
{
    "Datapoints": [
        {
            "Timestamp": "2017-04-24T19:00:00Z",
            "Sum": 3.0,
            "Unit": "None"
        },
        {
            "Timestamp": "2017-04-25T02:00:00Z",
            "Sum": 4.0,
            "Unit": "None"
        },
        {
            "Timestamp": "2017-04-25T02:00:00Z",
            "Sum": 2.0,
            "Unit": "None"
        }
    ],
    "Label": "BlockedRequests"
}
$

`–period`で指定した1時間ごとのデータが取得できた。”0“件の場合には省略されるようだ。

以上。

■ 関連

waf or waf-regional

waf or waf-regional

AWSの表題の件について。単なるメモである。

■ 環境

  • awscli 1.11.80
  • Mac OSX El Capitan

■ waf

WAFの設定をしたのだが、下記のように`awscli`で取得できない。

$ aws waf list-web-acls
{
    "WebACLs": []
}
$

さてなぜであろう???としばらく悩んでいたら気がついた。”waf-regional“なるものがあることに。

■ waf-regional

$ aws waf-regional list-web-acls
{
    "WebACLs": [
        {
            "WebACLId": "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXXX",
            "Name": "withsintest"
        }
    ]
}
$

こちらでは思い通りの結果が得られた。管理コンソールから見てみると、”Filte“が下記で分かれていた。

  • CloudFront WAF resources:
    • Global (Cloudfront)
  • ALB WAF resources:
    • US East (N.Virginia)
    • US West (Oregon)
    • Eu (Ireland)
    • Asia Pacific (Tokyo)

なるほど。ALBで検証していたので”waf-regional“の方に入っていたようだ。それなのに`awscli`では”waf“でコマンド実行していた為、”Cloudfront“のリソースしか取得できていなかったのが原因であった。

waf-regional“にしかないサブコマンド。

  • associate-web-acl
  • disassociate-web-acl
  • get-web-acl-for-resource
  • list-resources-for-web-acl

これ以外はどちらでも同じように使えるようだ。

以上。

■ 関連

AWS WAF metrics