# ログパーサーオプション
<a name="log-parser-options"></a>

「[アーキテクチャの概要](architecture-overview.md)」で説明した通り、HTTP フラッドとスキャナーとプローブの保護を処理するには 3 つのオプションがあります。以下のセクションでは、これらの各オプションについて詳しく説明します。

## AWS WAF レートベースのルール
<a name="aws-waf-rate-based-rule"></a>

レートベースのルールは、HTTP フラッド保護に使用できます。デフォルトでは、レートベースのルールはリクエスト IP アドレスに基づき、リクエストを集約してレート制限します。このソリューションを使用すると、クライアント IP が連続的に更新される 5 分の間に許可するウェブリクエストの数を指定できます。IP アドレスが設定されたクォータに違反した場合、AWS WAF は、リクエストレートが設定されたクォータを下回るまで、ブロックされた新しいリクエストをブロックします。

リクエストクォータが 5 分あたり 2,000 リクエストを超え、カスタマイズを実装する必要がない場合は、レートベースのルールオプションを選択することをおすすめします。例えば、リクエストのカウント時に静的リソースアクセスを考慮しません。

さらに、他のさまざまな集約キーやキーの組み合わせを使用するようにルールを設定できます。詳細については、「[集約オプションとキー](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html)」を参照してください。

## Amazon Athena ログパーサー
<a name="amazon-athena-log-parser"></a>

**HTTP Flood Protection** と **Scanner & Probe** **Protection** の両方のテンプレートパラメータには、Athena ログパーサーオプションが用意されています。アクティブにすると、CloudFormation は Athena を実行し、結果出力を処理し、AWS WAF を更新するオーケストレーションを担当する Athena クエリとスケジュールされた Lambda 関数をプロビジョニングします。この Lambda 関数は、5 分ごとに実行されるように設定された CloudWatch イベントによって呼び出されます。これは、**Athena Query Run Time Schedule** パラメータで設定できます。

AWS WAF レートベースのルールを使用できず、カスタマイズを実装するために SQL に精通している場合は、このオプションを選択することをお勧めします。デフォルトのクエリを変更する方法については、「[Amazon Athena クエリを表示する](view-amazon-athena-queries.md)」を参照してください。

HTTP フラッド保護は、AWS WAF アクセスログ処理に基づいており、WAF ログファイルを使用します。AWS WAF アクセスログのタイプは遅延時間が短いため、CloudFront や ALB のログ配信時間と比較して、HTTP フラッドのオリジンをより迅速に特定できます。ただし、レスポンスステータスコードを受信するには、**Activate Scanner & Probe Protection** テンプレートパラメータで CloudFront や ALB のログタイプを選択する必要があります。

**注記**  
不正なボットがハニーポットをバイパスして ALB または CloudFront と直接やり取りする場合、システムはログ分析を通じて悪意のある動作を検出します (ただし、HTTP フラッド保護およびスキャナーとプローブ保護の両方が Lambda ログパーサーを使用していない場合を除きます)。

## AWS Lambda ログパーサー
<a name="aws-lambda-log-parser"></a>

**HTTP Flood Protection** と **Scanner & Probe Protection** のテンプレートパラメータには、**AWS Lambda ログパーサー**オプションが用意されています。Lambda ログパーサーは、**AWS WAF レートベースのルール**および **Amazon Athena ログパーサー**オプションが利用できない場合にのみ使用します。このオプションの既知の制限は、処理中のファイルのコンテキスト内で情報が処理されることです。例えば、あるIPでは、定義されたクォータよりも多くのリクエストやエラーが生成される場合がありますが、この情報は複数のファイルに分割されているため、各ファイルにはクォータを超えるほどのデータが保存されません。

**注記**  
さらに、不正なボットがハニーポットをバイパスして ALB または CloudFront と直接やり取りする場合、検出では、選択したログパーサーオプションにより、悪意のあるアクティビティを効果的に特定してブロックします。