Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Depósito de Amazon Simple Storage Service
En este tema se proporciona información para enviar los registros de ACL tráfico web a un bucket de Amazon S3.
nota
Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener más información, consulte Precios para registrar la información de tráfico de la ACL web.
Para enviar los registros de ACL tráfico web a Amazon S3, debe configurar un bucket de Amazon S3 desde la misma cuenta que utiliza para administrar la web y ACL asignar un nombre al bucket que empiece poraws-waf-logs-. Cuando habilitas el inicio de sesión AWS WAF, indicas el nombre del bucket. Para obtener información acerca de la creación de un bucket de registro, consulte Crear un bucket en la Guía del usuario de Amazon Simple Storage Service.
Puede acceder a sus registros de Amazon S3 y analizarlos mediante el servicio de consultas interactivas de Amazon Athena. Athena facilita el análisis de datos directamente en Amazon S3 de forma estándar. SQL Con unas cuantas acciones AWS Management Console, puede dirigir a Athena a sus datos almacenados en Amazon S3 y empezar a utilizar rápidamente el estándar SQL para ejecutar consultas ad hoc y obtener resultados. Para obtener más información, consulte Consultas de AWS WAF registros en la guía del usuario de Amazon Athena. Para ver ejemplos adicionales de consultas de Amazon Athena, consulte waf-log-sample-athenaaws-samples/
nota
AWS WAF admite el cifrado con buckets de Amazon S3 para el tipo de clave clave Amazon S3 (SSE-S3) y para AWS Key Management Service (SSE-KMS). AWS KMS keys AWS WAF no admite el cifrado de las AWS Key Management Service claves administradas por. AWS
Su web ACLs publica sus archivos de registro en el bucket de Amazon S3 en intervalos de 5 minutos. Cada archivo de registro contiene registros de flujo del tráfico IP registrado en los cinco minutos anteriores.
El tamaño de archivo máximo de un archivo log es de 75 MB. Si el archivo de registro alcanza el límite de tamaño de archivo en el periodo de cinco minutos, el registro deja de agregar registros a este archivo, lo publica en el bucket de Amazon S3 y después crea un nuevo archivo de registro.
Los archivos log están comprimidos. Si abre los archivos de registro con la consola de Amazon S3, se descomprimen y se muestran las entradas de registro. Si descarga los archivos de registro, debe descomprimirlos para verlos.
Un único archivo de registro contiene entradas intercaladas con varios registros. Para ver todos los archivos de registro de una webACL, busque las entradas agregadas por el ACL nombre de la web, la región y el ID de su cuenta.
Requisitos de nomenclatura y sintaxis
Los nombres de los AWS WAF buckets para el registro deben empezar aws-waf-logs- y terminar con el sufijo que desee. Por ejemplo, aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX.
Ubicación del bucket
Las ubicaciones de los buckets utilizan la siguiente sintaxis:
s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/
Cubeta ARN
El formato del depósito Amazon Resource Name (ARN) es el siguiente:
arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX
Ubicaciones de los buckets con prefijos
Si usa prefijos en el nombre de las claves de sus objetos para organizar los datos que almacena en sus depósitos, puede incluir sus prefijos en los nombres de los buckets de registro.
nota
Esta opción no está disponible en la consola. Utilice el AWS WAF APIsCLI, o AWS CloudFormation.
Para obtener información acerca del uso de prefijos en Amazon S3consulte Organizar objetos usando prefijos en la Guía para usuarios de Amazon Simple Storage Service.
Las ubicaciones de los buckets con prefijos utilizan la siguiente sintaxis:
s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/DOC-EXAMPLE-KEY-NAME-PREFIX/
Carpetas de buckets y nombres de archivos
Dentro de tus grupos y siguiendo los prefijos que proporciones, tus AWS WAF registros se escriben en una estructura de carpetas determinada por tu ID de cuenta, la región, el ACL nombre de la web y la fecha y la hora.
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
Dentro de las carpetas, los nombres de los archivos de registro siguen un formato similar:
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
Las especificaciones de tiempo utilizadas en la estructura de carpetas y en el nombre del archivo de registro se ajustan a la especificación del formato de marca de tiempo YYYYMMddTHHmmZ.
A continuación, se muestra un archivo de registro de ejemplo en un bucket de Amazon S3 para un bucket llamado DOC-EXAMPLE-BUCKET. El Cuenta de AWS es. 11111111111 La web ACL es TEST-WEBACL y la Región esus-east-1.
s3://DOC-EXAMPLE-BUCKET/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
nota
Los nombres de los AWS WAF buckets para el registro deben empezar aws-waf-logs- y terminar con el sufijo que desee.
Permisos necesarios para publicar registros en Amazon S3
La configuración ACL del registro de tráfico web para un bucket de Amazon S3 requiere los siguientes ajustes de permisos. Configure estos permisos automáticamente cuando utiliza una de las políticas administradas de acceso completo de AWS WAF , AWSWAFConsoleFullAccess o AWSWAFFullAccess. Si desea administrar un acceso más detallado a sus registros y AWS WAF recursos, puede configurar estos permisos usted mismo. Para obtener información sobre la administración de permisos, consulte Administración del acceso a los AWS
recursos en la Guía del IAM usuario. Para obtener información sobre las políticas AWS WAF administradas, consulteAWS políticas gestionadas para AWS WAF.
Los siguientes permisos le permiten cambiar la configuración del ACL registro web y configurar la entrega de registros a su bucket de Amazon S3. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF.
nota
Al configurar los permisos que se indican a continuación, es posible que veas errores en tus AWS CloudTrail registros que indiquen que se ha denegado el acceso, pero los permisos de AWS WAF registro son correctos.
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" }, { "Sid":"WebACLLogDelivery", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Effect":"Allow" }, { "Sid":"WebACLLoggingS3", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket" ], "Effect":"Allow" } ] }
Cuando se permiten acciones en todos AWS los recursos, se indica en la política con una "Resource" configuración de"*". Esto significa que las acciones están permitidas en todos los AWS recursos compatibles con cada acción. Por ejemplo, la acción wafv2:PutLoggingConfiguration solo se admite para registrar los recursos de configuración wafv2.
De forma predeterminada, los buckets de Amazon S3 y los objetos que contienen son privados. Solo el propietario del bucket puede tener acceso al bucket y a los objetos almacenados en él. Sin embargo, el propietario del bucket puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Si el usuario que va a crear el registro es el propietario del bucket, se asocia automáticamente la siguiente política al bucket para conceder al registro permiso para publicar registros en el mismo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/AWSLogs/account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } } ] }
nota
Los nombres de los cubos para el AWS WAF registro deben empezar aws-waf-logs- y terminar con el sufijo que desee.
Si el usuario que va a crear el registro no es el propietario del bucket, o no tiene los permisos GetBucketPolicy y PutBucketPolicy para el bucket, se produce un error al crear el registro. En este caso, el propietario del bucket debe agregar manualmente la política anterior al bucket y especificar el ID de la cuenta de Cuenta de AWS del creador del registro. Para obtener más información, consulte How Do I Add an S3 Bucket Policy? (¿Cómo agrego una política de bucket de S3?) en la Guía del usuario de Amazon Simple Storage Service. Si el bucket recibe registros de varias cuentas, agregue un entrada del elemento Resource a la instrucción AWSLogDeliveryWrite de la política para cada cuenta.
Por ejemplo, la siguiente política de compartimentos Cuenta de AWS
111122223333 permite publicar registros en un depósito denominadoaws-waf-logs-:amzn-s3-demo-bucket
{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/AWSLogs/111122223333/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } } ] }
Permisos para usarlos AWS Key Management Service con una KMS clave
Si el destino del registro utiliza el cifrado del lado del servidor con claves almacenadas en AWS Key Management Service (SSE-KMS) y usted utiliza una clave gestionada por el cliente (KMSclave), debe dar AWS WAF permiso para usar su KMS clave. Para ello, añada una política de claves a la KMS clave del destino elegido. Esto permite que el registro de AWS WAF escriba los archivos de registro en el destino.
Añada la siguiente política clave a su KMS clave para poder AWS WAF iniciar sesión en su bucket de Amazon S3.
{ "Sid": "Allow AWS WAF to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*" }
Permisos requeridos para acceder a los archivos de registro de Amazon S3
Amazon S3 usa listas de control de acceso (ACLs) para administrar el acceso a los archivos de registro creados por un AWS WAF
registro. De forma predeterminada, el propietario del bucket tiene los permisos FULL_CONTROL en cada archivo log. El propietario de la entrega de logs, si es diferente del propietario del bucket, no tiene permisos. La cuenta de entrega de registros tiene los permisos READ y WRITE. Para obtener más información, consulte la descripción general de la lista de control de acceso (ACL) en la Guía del usuario de Amazon Simple Storage Service.
