Mengirim log ACL lalu lintas web ke aliran pengiriman Amazon Data Firehose - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Pedoman konfigurasiIzin untuk pencatatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengirim log ACL lalu lintas web ke aliran pengiriman Amazon Data Firehose

Bagian ini memberikan informasi untuk mengirim log ACL lalu lintas web Anda ke aliran pengiriman Amazon Data Firehose.

catatan

Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF Untuk informasi, lihat Harga untuk mencatat informasi ACL lalu lintas web.

Untuk mengirim log ke Amazon Data Firehose, Anda mengirim log dari web Anda ACL ke aliran pengiriman Amazon Data Firehose yang Anda konfigurasikan di Firehose. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log ke tujuan penyimpanan Anda melalui HTTPS titik akhir Firehose.

Satu AWS WAF log setara dengan satu catatan Firehose. Jika Anda biasanya menerima 10.000 permintaan per detik dan mengaktifkan log penuh, Anda harus memiliki pengaturan 10.000 catatan per detik di Firehose. Jika Anda tidak mengonfigurasi Firehose dengan benar, AWS WAF tidak akan merekam semua log. Untuk informasi selengkapnya, lihat kuota Amazon Kinesis Data Firehose.

Untuk informasi tentang cara membuat aliran pengiriman Amazon Data Firehose dan meninjau log yang disimpan, lihat Apa itu Amazon Data Firehose?

Untuk informasi tentang membuat aliran pengiriman, lihat Membuat aliran pengiriman Amazon Data Firehose.

Mengonfigurasi aliran pengiriman Amazon Data Firehose untuk web Anda ACL

Konfigurasikan aliran pengiriman Amazon Data Firehose untuk web Anda ACL sebagai berikut.

  • Buat menggunakan akun yang sama seperti yang Anda gunakan untuk mengelola webACL.

  • Buat di Wilayah yang sama dengan webACL. Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di Wilayah AS Timur (Virginia N.),. us-east-1

  • Berikan firehose data nama yang dimulai dengan awalanaws-waf-logs-. Misalnya, aws-waf-logs-us-east-2-analytics.

  • Konfigurasikan untuk direct put, yang memungkinkan aplikasi mengakses aliran pengiriman secara langsung. Di konsol Amazon Data Firehose, untuk setelan Sumber aliran pengiriman, pilih Direct PUT atau sumber lainnya. MelaluiAPI, atur properti aliran pengiriman DeliveryStreamType keDirectPut.

    catatan

    Jangan gunakan Kinesis stream sebagai sumber Anda.

Izin yang diperlukan untuk memublikasikan log ke aliran pengiriman Amazon Data Firehose

Untuk memahami izin yang diperlukan untuk konfigurasi Firehose Data Kinesis, lihat Mengontrol Akses dengan Amazon Kinesis Data Firehose.

Anda harus memiliki izin berikut agar berhasil mengaktifkan ACL pencatatan web dengan aliran pengiriman Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Untuk informasi tentang peran terkait layanan dan iam:CreateServiceLinkedRole izin, lihat. Menggunakan peran terkait layanan untuk AWS WAF