私のAPI(API GatewayとLambda)のロギング設定があります。 APIゲートウェイはApacheのHTTPS接続ログをどこに記録しますか?私は私のAPIにマップされていないエンドポイントに何が到達しているのかを見たいと思います。たとえば、私のapiはdomain.com/api/v1/resourceです。クライアントがdomain.com/api/v1/some_invalid_resourceをヒットしようとすると、どうすればログに記録されますか?また、APIゲートウェイはAPIの不正使用を防ぎます(https://aws.amazon.com/api-gateway/faqs/参照)、接続レベルのログがない場合、APIが攻撃されているかどうかをどのように知ることができますか?AWS APIゲートウェイ - 不正なリクエストをログに記録しますか?
APIゲートウェイのログを構成するときは、ログを作成してクラウドウォッチに書き込むことを許可するように設定してください。
あなたは、これはAWSから公式の答えは、以下のような流れのようなCloudWatchの下
API-ゲートウェイ実行-Logs_(APIID)/ {段階}
いいえ、すべての設定がうまくいきました。ラムダ関数が一致すればログが出力されます。 ApacheやTomcatのようなアクセスログが必要なのは、クライアントのバグやDOSなどを管理できるように、どのようなトラフィックがエンドポイントに到達しているのかをわかってくれているからです。クライアントがエンドポイントに不適切なヒットをした場合、 APIゲートウェイドメインが正しい場合でも、有効なAPIにマップします。 – halt00
それらを見ることができます:
残念ながら、API Gatewayは顧客のアクセスログを提供しません。 API Gateway側で機能リクエストを作成し、API Gatewayはこのリクエストの優先順位付けを検討しますが、これに対してETAを提供することはできません。回避策として、他のリソースと同じレベルのモック統合を使用してプロキシリソースを作成すると、間違ったリソースにヒットしているリクエストのログを見ることができます。
https://forums.aws.amazon.com/thread.jspa?messageID=805138󄤒
今、あなたのAPIゲートウェイのステージにアクセスログを有効にすることができます。 (ここのページの一番下にあるhttp://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.htmlを参照してください)これまでのテストでは、正しいIPアドレス、requestTime、およびリソースパスが有効な要求に対してのみ記録されます。それは、無効な要求の試みられたアクセスをログに記録しますが、IP、requestTime(ログ入力時に得ることができます)、および試行されたパスは取得されません。
これを有効にして、誰かが攻撃ベクトルのために私のAPIを調べようとしているかどうかを確認したいのですが、これまでのところ信じられないほど役に立ちません。
API Gatewayが基本的に無効なリクエストに対して料金を請求するかどうかはわかりません。 –
それは良い質問ですが、私たちが現在心配していることはありません。我々は課金されていないと仮定します。そうでなければ、メトリック/ログが存在します。これまでのところ、誰もフォーラムや検索でどこに表示するかを示していません。私はAWSフォーラムにも投稿します。 – halt00
うわー、私の意図したことはまったく言わなかった。API Gatewayが有効なリソースにつながっていない根本的に無効なリクエストのログをキャプチャするかどうかはわからない。そのような要求に対して料金がかかっているかどうかは、後の考察でした。私はそれをgoogleに行って戻って来て、かなり完全にコメントを流しました。 –