Envío de registros de tráfico de la ACL web a un grupo de registros de Amazon CloudWatch - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Cuotas para grupo de registros de los registros de CloudWatchDenominación de grupos de registro Permisos para el registro de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de registros de tráfico de la ACL web a un grupo de registros de Amazon CloudWatch

En este tema, se proporciona información para enviar los registros de tráfico de la ACL web a un grupo de registros de CloudWatch.

nota

Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener más información, consulte Precios para registrar la información de tráfico de la ACL web.

Para enviar registros a Registros de Amazon CloudWatch, debe crear un grupo de registro de CloudWatch. Cuando habilita el inicio de sesión en AWS WAF, proporcione el ARN del grupo de registros. Tras habilitar el registro para su ACL web, AWS WAF envía los registros al grupo de registros de CloudWatch en flujos de registros.

Cuando usa los registros de CloudWatch, puede explorar los registros de su ACL web en la consola de AWS WAF. En su página web de ACL, seleccione la pestaña Registro de información. Esta opción se suma a la información de registro que se proporciona para los registros de CloudWatch a través de la consola de CloudWatch.

Configure el grupo de registros para los registros de la ACL web de AWS WAF en la misma región que la ACL web y con la misma cuenta que utiliza para administrar la ACL web. Para obtener información acerca cómo configurar un grupo de registro de los Registros de CloudWatch, consulte Trabajo con grupos y flujos de registros.

Cuotas para grupo de registros de los registros de CloudWatch

Los registros de CloudWatch tienen una cuota máxima de rendimiento predeterminada, que se comparte entre todos los grupos de registro de una región, y que usted puede solicitar que se aumente. Si sus requisitos de registro son demasiado altos para la configuración actual de rendimiento, verá las métricas de limitación para PutLogEvents de su cuenta. Para ver el límite en la consola de Service Quotas y solicitar un aumento, consulte CloudWatch Logs PutLogEvents quota.

Denominación de grupos de registro

Los nombres de sus grupos de registro deben empezar aws-waf-logs- por y terminar con el sufijo que desee, por ejemplo, aws-waf-logs-testLogGroup2.

El formato del ARN resultante es el siguiente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Los flujos de registros tienen un formato similar al siguiente: 

Region_web-acl-name_log-stream-number

A continuación se muestra un ejemplo de flujo de registro para la ACL web TestWebACL en la región us-east-1. 

us-east-1_TestWebACL_0

Permisos necesarios para publicar registros en los Registros de CloudWatch

La configuración del registro de tráfico de la ACL web para un grupo de registros de CloudWatch requiere la configuración de permisos que se describe en esta sección. Los permisos se configuran automáticamente cuando utiliza una de las políticas administradas de acceso completo de AWS WAF, AWSWAFConsoleFullAccess o AWSWAFFullAccess. Si desea administrar un acceso más detallado a sus registros y recursos de AWS WAF, puede configurar los permisos. Para obtener información sobre la administración de permisos, consulte Administración de acceso a recursos de AWS en la Guía del usuario de IAM. Para obtener información sobre las políticas administradas de AWS WAF, consulte Políticas administradas de AWS para AWS WAF.

Estos permisos le permiten cambiar la configuración de registro de la ACL web, configurar el envío de registros para CloudWatch y recuperar información sobre su grupo de registros. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Si se permiten acciones en todos los recursos de AWS, esto se indica en la política con "Resource" establecido en "*". Esto significa que las acciones están permitidas en todos los recursos de AWS compatibles con cada acción. Por ejemplo, la acción wafv2:PutLoggingConfiguration solo se admite para registrar los recursos de configuración wafv2.