Invio di registri ACL del traffico Web a un flusso di distribuzione di Amazon Data Firehose - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Linee guida di configurazioneAutorizzazioni per la registrazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Invio di registri ACL del traffico Web a un flusso di distribuzione di Amazon Data Firehose

Questa sezione fornisce informazioni per inviare i log ACL del traffico Web a un flusso di distribuzione di Amazon Data Firehose.

Nota

Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione AWS WAF Per informazioni, consulta Prezzi per la registrazione delle informazioni sul ACL traffico web.

Per inviare i log ad Amazon Data Firehose, devi inviare i log dal tuo Web ACL a un flusso di distribuzione Amazon Data Firehose configurato in Firehose. Dopo aver abilitato la registrazione, AWS WAF invia i log alla destinazione di archiviazione tramite l'HTTPSendpoint di Firehose.

One AWS WAF log è equivalente a un record Firehose. Se in genere ricevi 10.000 richieste al secondo e abiliti i log completi, dovresti avere un'impostazione di 10.000 record al secondo in Firehose. Se non configuri Firehose correttamente, AWS WAF non registrerà tutti i log. Per ulteriori informazioni, consulta le quote di Amazon Kinesis Data Firehose.

Per informazioni su come creare un flusso di distribuzione di Amazon Data Firehose e rivedere i log archiviati, consulta What is Amazon Data Firehose?

Per informazioni sulla creazione del flusso di distribuzione, consulta Creazione di un flusso di distribuzione Amazon Data Firehose.

Configurazione di un flusso di distribuzione Amazon Data Firehose per il tuo sito web ACL

Configura uno stream di distribuzione Amazon Data Firehose per il tuo Web ACL come segue.

  • Crealo utilizzando lo stesso account che usi per gestire il WebACL.

  • Crealo nella stessa regione del webACL. Se stai acquisendo log per Amazon CloudFront, crea il firehose nella regione Stati Uniti orientali (Virginia settentrionale),. us-east-1

  • Assegna al data firehose un nome che inizi con il prefisso. aws-waf-logs- Ad esempio aws-waf-logs-us-east-2-analytics.

  • Configuralo per l'immissione diretta, che consente alle applicazioni di accedere direttamente al flusso di distribuzione. Nella console Amazon Data Firehose, per l'impostazione Source del flusso di distribuzione, scegli Direct PUT o altre fonti. TramiteAPI, imposta la proprietà del flusso di consegna DeliveryStreamType suDirectPut.

    Nota

    Non utilizzare a Kinesis stream come fonte.

Autorizzazioni necessarie per pubblicare i log in un flusso di distribuzione di Amazon Data Firehose

Per comprendere le autorizzazioni richieste per la configurazione di Kinesis Data Firehose, consulta Controlling Access with Amazon Kinesis Data Firehose.

È necessario disporre delle seguenti autorizzazioni per abilitare correttamente la ACL registrazione Web con un flusso di distribuzione Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Per informazioni sui ruoli collegati ai servizi e sull'autorizzazione, consulta. iam:CreateServiceLinkedRole Utilizzo di ruoli collegati ai servizi per AWS WAF