

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Opções do analisador de log
<a name="log-parser-options"></a>

Conforme descrito na [visão geral da arquitetura](architecture-overview.md), há três opções para lidar com as proteções de inundação e scanner e sonda HTTP. As seções a seguir explicam cada uma dessas opções com mais detalhes.

## Regra baseada em taxas do AWS WAF
<a name="aws-waf-rate-based-rule"></a>

Regras baseadas em taxas estão disponíveis para proteção contra inundação de HTTP. Por padrão, uma regra baseada em intervalo agrega e limita o intervalo das solicitações com base no endereço IP da solicitação. Essa solução permite que você especifique o número de solicitações da web que um IP do cliente permite em um período posterior e continuamente atualizado de cinco minutos. Se um endereço IP violar a cota configurada, o AWS WAF bloqueia novas solicitações bloqueadas até que a taxa de solicitação seja menor que a cota configurada.

Recomendamos selecionar a opção de regra baseada em taxas se a cota de solicitações for superior a 2.000 solicitações por cinco minutos e você não precisar implementar personalizações. Por exemplo, você não considera o acesso estático a recursos ao contar as solicitações.

Você também pode configurar a regra para usar várias outras chaves de agregação e combinações de teclas. Para obter mais informações, consulte [Opções e chaves de agregação](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html).

## Analisador de log Amazon Athena
<a name="amazon-athena-log-parser"></a>

Os parâmetros do modelo **HTTP Flood Protection** e **Scanner & Probe **Protection**** fornecem a opção de analisador de log Athena. Quando ativado, CloudFormation provisiona uma consulta do Athena e uma função Lambda programada responsável por orquestrar o Athena para executar, processar a saída do resultado e atualizar o AWS WAF. Essa função Lambda é invocada por um CloudWatch evento configurado para ser executado a cada cinco minutos. Isso é configurável com o parâmetro **Athena Query Run Time** Schedule.

Recomendamos selecionar essa opção quando você não puder usar as regras baseadas em taxas do AWS WAF e tiver familiaridade com o SQL para implementar personalizações. Para obter mais informações sobre como alterar a consulta padrão, consulte [Exibir consultas do Amazon Athena](view-amazon-athena-queries.md).

A proteção contra inundação HTTP é baseada no processamento do log de acesso do AWS WAF e usa arquivos de log do WAF. O tipo de log de acesso WAF tem um tempo de atraso menor, que você pode usar para identificar as origens da inundação HTTP mais rapidamente em comparação com o tempo de entrega do log do ALB. CloudFront No entanto, você deve selecionar o tipo de registro CloudFront ou ALB no parâmetro do modelo **Activate Scanner & Probe Protection** para receber códigos de status de resposta.

**nota**  
Se um bot mal-intencionado contorna o honeypot e interage diretamente com o ALB ou CloudFront, o sistema detecta comportamento malicioso por meio da análise de registros, a menos que o HTTP Flood Protection e o Scanner & Probe Protection não estejam usando o analisador de log Lambda.

## Analisador de log AWS Lambda
<a name="aws-lambda-log-parser"></a>

Os parâmetros do modelo **HTTP Flood Protection** e **Scanner & Probe Protection** fornecem a opção **AWS Lambda Log** Parser. Use o analisador de log Lambda somente quando a **regra baseada em taxas do AWS WAF e as opções do** analisador de log do **Amazon Athena** não estiverem disponíveis. Uma limitação conhecida dessa opção é que as informações são processadas dentro do contexto do arquivo que está sendo processado. Por exemplo, um IP pode gerar mais solicitações ou erros do que a cota definida, mas como essas informações são divididas em arquivos diferentes, cada arquivo não armazena dados suficientes para exceder a cota.

**nota**  
Além disso, se um bot mal-intencionado contorna o honeypot e interage diretamente com o ALB ou CloudFront, a detecção depende da opção escolhida do analisador de log para identificar e bloquear efetivamente atividades maliciosas.