Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Grup CloudWatch log Amazon Logs
Topik ini memberikan informasi untuk mengirim log lalu lintas ACL web Anda ke grup CloudWatch log Log.
catatan
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat Harga untuk mencatat informasi lalu lintas ACL web.
Untuk mengirim log ke Amazon CloudWatch Logs, Anda membuat grup CloudWatch log Log. Saat Anda mengaktifkan login AWS WAF, Anda memberikan grup log ARN. Setelah Anda mengaktifkan pencatatan untuk ACL web Anda, AWS WAF mengirimkan log ke grup CloudWatch log Log di aliran log.
Saat Anda menggunakan CloudWatch Log, Anda dapat menjelajahi log untuk ACL web Anda di AWS WAF konsol. Di halaman ACL web Anda, pilih tab Wawasan log. Opsi ini merupakan tambahan dari wawasan logging yang disediakan untuk CloudWatch Log melalui CloudWatch konsol.
Konfigurasikan grup log untuk log ACL AWS WAF web di Wilayah yang sama dengan ACL web dan menggunakan akun yang sama seperti yang Anda gunakan untuk mengelola ACL web. Untuk informasi tentang mengonfigurasi grup CloudWatch log Log, lihat Bekerja dengan Grup Log dan Aliran Log.
Kuota untuk grup CloudWatch log Log
CloudWatch Log memiliki kuota maksimum default untuk throughput, dibagikan di semua grup log dalam suatu wilayah, yang dapat Anda minta untuk ditingkatkan. Jika persyaratan pencatatan Anda terlalu tinggi untuk pengaturan throughput saat ini, Anda akan melihat metrik pembatasan untuk PutLogEvents
akun Anda. Untuk melihat limit di konsol Service Quotas dan meminta peningkatan, lihat kuota CloudWatch Log PutLogEvents
Penamaan grup log
Nama grup log Anda harus dimulai dengan aws-waf-logs-
dan dapat diakhiri dengan akhiran apa pun yang Anda suka, misalnya,aws-waf-logs-testLogGroup2
.
Format ARN yang dihasilkan adalah sebagai berikut:
arn:aws:logs:
Region
:account-id
:log-group:aws-waf-logs-log-group-suffix
Aliran log memiliki format penamaan berikut:
Region
_web-acl-name
_log-stream-number
Berikut ini menunjukkan contoh aliran log untuk web ACL TestWebACL
di Wilayahus-east-1
.
us-east-1_TestWebACL_0
Izin yang diperlukan untuk mempublikasikan log ke CloudWatch Log
Mengkonfigurasi pencatatan lalu lintas ACL web untuk grup CloudWatch log Log memerlukan pengaturan izin yang dijelaskan di bagian ini. Izin ditetapkan untuk Anda saat Anda menggunakan salah satu kebijakan terkelola akses AWS WAF penuh, AWSWAFConsoleFullAccess
atauAWSWAFFullAccess
. Jika Anda ingin mengelola akses berbutir halus ke pencatatan dan AWS WAF sumber daya, Anda dapat mengatur sendiri izin tersebut. Untuk informasi tentang mengelola izin, lihat Manajemen akses untuk AWS sumber daya di Panduan Pengguna IAM. Untuk informasi tentang kebijakan yang AWS WAF
dikelola, lihatAWS kebijakan terkelola untuk AWS WAF.
Izin ini memungkinkan Anda mengubah konfigurasi pencatatan ACL web, mengonfigurasi pengiriman CloudWatch log untuk Log, dan untuk mengambil informasi tentang grup log Anda. Izin ini harus dilampirkan ke pengguna yang Anda gunakan untuk mengelola AWS WAF.
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
Ketika tindakan diizinkan pada semua AWS sumber daya, itu ditunjukkan dalam kebijakan dengan "Resource"
pengaturan"*"
. Ini berarti bahwa tindakan diizinkan pada semua AWS sumber daya yang didukung oleh setiap tindakan. Misalnya, tindakan hanya wafv2:PutLoggingConfiguration
didukung untuk wafv2
mencatat sumber daya konfigurasi.