Invio di registri ACL del traffico Web a un gruppo di log di Amazon CloudWatch Logs - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Quote per i gruppi di log Logs CloudWatch Denominazione dei gruppi di log Autorizzazioni per la registrazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Invio di registri ACL del traffico Web a un gruppo di log di Amazon CloudWatch Logs

Questo argomento fornisce informazioni per inviare i log ACL del traffico web a un gruppo di log CloudWatch Logs.

Nota

Oltre ai costi di utilizzo, ti vengono addebitati i costi per la registrazione AWS WAF Per informazioni, consulta Prezzi per la registrazione delle informazioni sul ACL traffico web.

Per inviare i log ad Amazon CloudWatch Logs, devi creare un gruppo di CloudWatch log Logs. Quando abiliti l'accesso AWS WAF, fornisci il gruppo ARN di log. Dopo aver abilitato la registrazione per il WebACL, AWS WAF invia i log al gruppo CloudWatch Logs log nei flussi di log.

Quando usi CloudWatch Logs, puoi esplorare i log per il tuo Web in ACL AWS WAF console. Nella tua ACL pagina web, seleziona la scheda Logging insights. Questa opzione si aggiunge alle informazioni sulla registrazione fornite per i CloudWatch registri tramite la console. CloudWatch

Configura il gruppo di log per AWS WAF ACLi registri Web si trovano nella stessa area del Web ACL e utilizzano lo stesso account utilizzato per la gestione del WebACL. Per informazioni sulla configurazione di un gruppo di log CloudWatch Logs, vedere Working with Log Groups and Log Streams.

Quote per i gruppi di log Logs CloudWatch

CloudWatch Logs ha una quota massima predefinita per la velocità effettiva, condivisa tra tutti i gruppi di log all'interno di una regione, che è possibile richiedere di aumentare. Se i tuoi requisiti di registrazione sono troppo elevati per l'attuale impostazione del throughput, vedrai le metriche di limitazione relative al tuo account. PutLogEvents Per visualizzare il limite nella console Service Quotas e richiedere un aumento, consulta la quota CloudWatch PutLogEvents Logs.

Denominazione dei gruppi di log

I nomi dei gruppi di log devono iniziare con aws-waf-logs- e possono terminare con qualsiasi suffisso desiderato, ad esempio. aws-waf-logs-testLogGroup2

Il ARN formato risultante è il seguente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

I flussi di log hanno il seguente formato di denominazione: 

Region_web-acl-name_log-stream-number

Di seguito viene mostrato un esempio di flusso di log per il Web ACL TestWebACL in Region. us-east-1 

us-east-1_TestWebACL_0

Autorizzazioni necessarie per pubblicare i log su Logs CloudWatch

La configurazione della registrazione ACL del traffico Web per un gruppo di log CloudWatch Logs richiede le impostazioni delle autorizzazioni descritte in questa sezione. Le autorizzazioni vengono impostate automaticamente quando si utilizza uno dei AWS WAF politiche gestite di accesso completo, AWSWAFConsoleFullAccess oppureAWSWAFFullAccess. Se desideri gestire un accesso più dettagliato ai tuoi log e AWS WAF risorse, puoi impostare tu stesso le autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli accessi per AWS risorse nella Guida per l'IAMutente. Per informazioni sulla AWS WAF politiche gestite, vedereAWS politiche gestite per AWS WAF.

Queste autorizzazioni consentono di modificare la configurazione del web ACL logging, di configurare la consegna dei log per CloudWatch Logs e di recuperare informazioni sul gruppo di log. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Quando le azioni sono consentite su tutti AWS risorse, è indicato nella politica con un'"Resource"impostazione di"*". Ciò significa che le azioni sono consentite su tutti AWS risorse supportate da ogni azione. Ad esempio, l'azione wafv2:PutLoggingConfiguration è supportata solo per la wafv2 registrazione delle risorse di configurazione.