ACLWeb-Traffic-Logs an eine Amazon CloudWatch Logs-Protokollgruppe senden - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ACLWeb-Traffic-Logs an eine Amazon CloudWatch Logs-Protokollgruppe senden

Dieses Thema enthält Informationen zum Senden Ihrer ACL Web-Traffic-Logs an eine CloudWatch Logs-Protokollgruppe.

Anmerkung

Ihnen werden zusätzlich zu den Gebühren für die Nutzung die Protokollierung in Rechnung gestellt AWS WAF Weitere Informationen finden Sie unter Preise für die Protokollierung von ACL Web-Traffic-Informationen..

Um Protokolle an Amazon CloudWatch Logs zu senden, erstellen Sie eine CloudWatch Logs-Protokollgruppe. Wenn Sie die Anmeldung aktivieren AWS WAF, geben Sie die Protokollgruppe anARN. Nachdem Sie die Protokollierung für Ihr Web aktiviert habenACL, AWS WAF übermittelt Protokolle in Protokolldatenströmen an die Protokollgruppe CloudWatch Logs.

Wenn Sie CloudWatch Logs verwenden, können Sie die Logs für Ihr Web ACL im AWS WAF console. Wählen Sie auf Ihrer ACL Webseite den Tab Logging Insights aus. Diese Option ist eine Ergänzung zu den Protokollierungsergebnissen, die für CloudWatch Logs über die CloudWatch Konsole bereitgestellt werden.

Konfigurieren Sie die Protokollgruppe für AWS WAF ACLWebprotokolle befinden sich in derselben Region wie das Internet ACL und verwenden dasselbe Konto, das Sie für die Verwaltung des Webs verwendenACL. Informationen zur Konfiguration einer CloudWatch Logs-Log-Gruppe finden Sie unter Arbeiten mit Log-Gruppen und Log-Streams.

Kontingente für CloudWatch Log-Log-Gruppen

CloudWatch Logs hat standardmäßig ein maximales Kontingent für den Durchsatz, das auf alle Protokollgruppen innerhalb einer Region aufgeteilt wird und dessen Erhöhung Sie beantragen können. Wenn Ihre Protokollierungsanforderungen für die aktuelle Durchsatzeinstellung zu hoch sind, werden Ihnen Drosselungskennzahlen PutLogEvents für Ihr Konto angezeigt. Informationen zum Limit in der Konsole für Service Quotas und zur Beantragung einer Erhöhung finden Sie unter PutLogEvents Kontingent für CloudWatch Protokolle.

Benennung von Protokollgruppen

Die Namen Ihrer Protokollgruppen müssen mit aws-waf-logs- beginnen und können mit einem beliebigen Suffix enden, z. B. aws-waf-logs-testLogGroup2.

Das resultierende ARN Format sieht wie folgt aus:

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Die Protokollstreams haben das folgende Benennungsformat:

Region_web-acl-name_log-stream-number

Im Folgenden wird ein Beispiel für einen Protokollstream für Web ACL TestWebACL in Region gezeigtus-east-1.

us-east-1_TestWebACL_0

Zum Veröffentlichen von Protokollen in Logs sind Berechtigungen erforderlich CloudWatch

Für die Konfiguration der Protokollierung des ACL Webverkehrs für eine Protokollgruppe „ CloudWatch Logs“ sind die in diesem Abschnitt beschriebenen Berechtigungseinstellungen erforderlich. Die Berechtigungen werden für Sie festgelegt, wenn Sie eine der AWS WAF Verwaltete Richtlinien mit vollem Zugriff AWSWAFConsoleFullAccess oderAWSWAFFullAccess. Wenn Sie den Zugriff auf Ihre Protokollierung detaillierter verwalten möchten und AWS WAF Ressourcen, Sie können die Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAMBenutzerhandbuch. Für Informationen über AWS WAF verwaltete Richtlinien finden Sie unterAWS verwaltete Richtlinien für AWS WAF.

Mit diesen Berechtigungen können Sie die Konfiguration der ACL Webprotokollierung ändern, die Protokollzustellung für CloudWatch Protokolle konfigurieren und Informationen über Ihre Protokollgruppe abrufen. Diese Berechtigungen müssen dem Benutzer zugewiesen werden, den Sie für die Verwaltung verwenden AWS WAF.

{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }

Wenn Aktionen für alle erlaubt sind AWS Ressourcen, dies ist in der Richtlinie mit der "Resource" Einstellung von angegeben"*". Das bedeutet, dass die Aktionen für alle zulässig sind AWS Ressourcen, die jede Aktion unterstützt. Die Aktion wafv2:PutLoggingConfiguration wird beispielsweise nur für wafv2-Protokollkonfigurationsressourcen unterstützt.