本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 日誌剖析器選項
<a name="log-parser-options"></a>

如[架構概觀](architecture-overview.md)中所述，有三個選項可處理 HTTP 洪水、掃描器和探查保護。以下各節會更詳細地說明這些選項。

## AWS WAF 速率型規則
<a name="aws-waf-rate-based-rule"></a>

速率型規則可用於 HTTP 洪水防護。根據預設，速率型規則會根據請求 IP 地址彙總和速率限制請求。此解決方案可讓您指定用戶端 IP 在五分鐘內允許持續更新的 Web 請求數量。如果 IP 地址違反設定的配額，AWS WAF 會封鎖新的請求，直到請求率低於設定的配額為止。

如果請求配額超過每五分鐘 2，000 個請求，而且您不需要實作自訂，建議您選取速率型規則選項。例如，計數請求時，您不考慮靜態資源存取。

您可以進一步設定規則，以使用各種其他彙總金鑰和金鑰組合。如需詳細資訊，請參閱[彙總選項和金鑰](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based-aggregation-options.html)。

## Amazon Athena 日誌剖析器
<a name="amazon-athena-log-parser"></a>

**HTTP 洪水防護**和**掃描器和探查****防護**範本參數都提供 Athena 日誌剖析器選項。啟用時，CloudFormation 會佈建 Athena 查詢和排程 Lambda 函數，負責協調 Athena 執行、處理結果輸出和更新 AWS WAF。設定為每五分鐘執行一次的 CloudWatch 事件會叫用此 Lambda 函數。您可以使用 **Athena Query Run Time Schedule** 參數來設定。

當您無法使用 AWS WAF 速率型規則且熟悉 SQL 來實作自訂時，建議您選取此選項。如需如何變更預設查詢的詳細資訊，請參閱[檢視 Amazon Athena 查詢](view-amazon-athena-queries.md)。

HTTP 洪水防護是以 AWS WAF 存取日誌處理為基礎，並使用 WAF 日誌檔案。WAF 存取日誌類型具有較低的延遲時間，相較於 CloudFront 或 ALB 日誌交付時間，您可以使用它更快地識別 HTTP 洪水來源。不過，您必須在**啟動掃描器和探查保護**範本參數中選取 CloudFront 或 ALB 日誌類型，才能接收回應狀態碼。

**注意**  
如果惡意機器人繞過 Honeypot 並直接與 ALB 或 CloudFront 互動，則系統會透過日誌分析偵測惡意行為，除非 HTTP 洪水防護和掃描器和探查保護都未使用 Lambda 日誌剖析器。

## AWS Lambda 日誌剖析器
<a name="aws-lambda-log-parser"></a>

**HTTP 洪水防護**和**掃描器與探查防護**範本參數提供 **AWS Lambda Log Parser** 選項。只有在無法使用 **AWS WAF 速率型規則**和 **Amazon Athena 日誌剖析器選項時，才能使用 Lambda 日誌剖析器**。此選項的已知限制是在正在處理的檔案內容中處理資訊。例如，IP 可能會產生比定義配額更多的請求或錯誤，但由於此資訊會分割成不同的檔案，因此每個檔案不會存放足夠的資料來超過配額。

**注意**  
此外，如果惡意機器人繞過 Honeypot 並直接與 ALB 或 CloudFront 互動，偵測會依賴所選的日誌剖析器選項來有效識別和封鎖惡意活動。