**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Invio dei log di traffico del Protection Pack (Web ACL) a un bucket Amazon Simple Storage Service
Questo argomento fornisce informazioni per inviare i log del traffico del Protection Pack (Web ACL) a un bucket Amazon S3.
**Nota**
Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione. AWS WAF Per informazioni, consulta [Prezzi per la registrazione delle informazioni sul traffico del pacchetto di protezione (Web ACL)](logging-pricing.md).
Per inviare i log del traffico del pacchetto di protezione (Web ACL) ad Amazon S3, è necessario configurare un bucket Amazon S3 dallo stesso account utilizzato per gestire il pacchetto di protezione (Web ACL) e assegnare un nome al bucket a partire da. `aws-waf-logs-` Quando abiliti l'accesso, fornisci il nome del bucket. AWS WAF Per informazioni sulla creazione di un bucket di registrazione, consulta [Create a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) nella *Amazon Simple Storage Service* User Guide.
Puoi accedere e analizzare i log di Amazon S3 utilizzando il servizio di query interattivo Amazon Athena. Athena semplifica l'analisi dei dati direttamente in Amazon S3 utilizzando SQL standard. Con poche azioni Console di gestione AWS, puoi indirizzare Athena ai dati archiviati in Amazon S3 e iniziare rapidamente a utilizzare SQL standard per eseguire query ad hoc e ottenere risultati. Per ulteriori informazioni, consulta la sezione [Interrogazione dei AWS WAF log nella guida](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) per l'utente di *Amazon Athena*. Per ulteriori esempi di query Amazon Athena, consulta [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries sul sito Web. GitHub
**Nota**
AWS WAF supporta la crittografia con bucket Amazon S3 per il tipo di chiave Amazon S3 key (SSE-S3) e per (SSE-KMS). AWS Key Management Service AWS KMS keys AWS WAF non supporta la crittografia per le chiavi gestite da. AWS Key Management Service AWS
I file di log del pacchetto di protezione (Web ACL) vengono pubblicati nel bucket Amazon S3 a intervalli di 5 minuti. Ogni file di registro contiene i record di registro per il traffico registrato nei 5 minuti precedenti.
Le dimensioni file massime per un file di log sono di 75 MB. Se il file di registro raggiunge il limite di dimensione del file entro un periodo di 5 minuti, interrompe l'aggiunta di record, lo pubblica nel bucket Amazon S3 e quindi crea un nuovo file di registro.
I file di log sono compressi. Se apri i file utilizzando la console Amazon S3, Amazon S3 decomprime i record di log e li visualizza. Se scarichi i file di registro, devi decomprimerli per visualizzare i record.
Un singolo file di registro contiene voci interlacciate con più record. Per visualizzare tutti i file di registro di un pacchetto di protezione (Web ACL), cerca le voci aggregate in base al nome del pacchetto di protezione (Web ACL), alla regione e all'ID dell'account.
## Requisiti di denominazione e sintassi
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato. Ad esempio, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`.
**Ubicazione del bucket**
Le posizioni dei bucket utilizzano la seguente sintassi:
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```
**Bucket ARN**
Il formato del bucket Amazon Resource Name (ARN) è il seguente:
```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```
**Posizioni dei bucket con prefissi**
Se utilizzi prefissi nel nome delle chiavi oggetto per organizzare i dati archiviati nei bucket, puoi fornire i prefissi nei nomi dei bucket di registrazione.
**Nota**
Questa opzione non è disponibile tramite la console. Usa AWS WAF APIs, CLI o. AWS CloudFormation
Per informazioni sull'uso dei prefissi in Amazon S3, [consulta Organizing objects using](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) prefixes nella *Amazon Simple Storage Service User Guide*.
Le posizioni dei bucket con prefissi utilizzano la seguente sintassi:
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```
**Cartelle e nomi di file dei bucket**
All'interno dei bucket e seguendo i prefissi che fornisci, AWS WAF i log sono scritti in una struttura di cartelle determinata dall'ID dell'account, dalla regione, dal nome del protection pack (Web ACL) e dalla data e dall'ora.
```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```
All'interno delle cartelle, i nomi dei file di registro seguono un formato simile:
```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```
Le specifiche temporali utilizzate nella struttura delle cartelle e nel nome del file di registro rispettano le specifiche del formato del timestamp. `YYYYMMddTHHmmZ`
Di seguito viene illustrato un esempio di file di log in un bucket Amazon S3 per un bucket denominato. `aws-waf-logs-LOGGING-BUCKET-SUFFIX` Lo è. Account AWS `11111111111` Il pacchetto di protezione (Web ACL) è `TEST-WEBACL` e la regione è`us-east-1`.
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```
**Nota**
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato.
## Autorizzazioni necessarie per pubblicare i log su Amazon S3
La configurazione della registrazione del traffico del pacchetto di protezione (Web ACL) per un bucket Amazon S3 richiede le seguenti impostazioni di autorizzazione. Queste autorizzazioni vengono impostate automaticamente quando utilizzi una delle politiche di gestione dell'accesso completo, oppure. AWS WAF `AWSWAFConsoleFullAccess` `AWSWAFFullAccess` Se desideri gestire ulteriormente l'accesso ai tuoi log e alle tue AWS WAF risorse, puoi impostare tu stesso queste autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta [Gestione degli accessi per AWS le risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) l'utente *IAM*. Per informazioni sulle politiche AWS WAF gestite, consulta[AWS politiche gestite per AWS WAF](security-iam-awsmanpol.md).
Le seguenti autorizzazioni consentono di modificare la configurazione di registrazione del Protection Pack (Web ACL) e di configurare la consegna dei log al bucket Amazon S3. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione. AWS WAF
**Nota**
Quando imposti le autorizzazioni elencate di seguito, potresti visualizzare errori nei AWS CloudTrail registri che indicano un accesso negato, ma le autorizzazioni sono corrette per la registrazione. AWS WAF
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration"
],
"Resource":[
"*"
],
"Effect":"Allow",
"Sid":"LoggingConfigurationAPI"
},
{
"Sid":"WebACLLogDelivery",
"Action":[
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*",
"Effect":"Allow"
},
{
"Sid":"WebACLLoggingS3",
"Action":[
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
],
"Effect":"Allow"
}
]
}
```
------
Quando sono consentite azioni su tutte le AWS risorse, ciò è indicato nella politica con un'impostazione di. `"Resource"` `"*"` Ciò significa che le azioni sono consentite su tutte le AWS risorse *supportate da ciascuna azione*. Ad esempio, l'azione `wafv2:PutLoggingConfiguration` è supportata solo per la `wafv2` registrazione delle risorse di configurazione.
Per impostazione predefinita, i bucket Amazon S3 e gli oggetti in essi contenuti sono privati. Solo il proprietario del bucket può accedere al bucket e agli oggetti in esso archiviati. Il proprietario del bucket, tuttavia, può concedere l'accesso ad altre risorse e utenti scrivendo una politica di accesso.
Se l'utente che crea il log è proprietario del bucket, il servizio allega automaticamente la seguente policy al bucket per concedere al log l'autorizzazione a pubblicare i log su di esso:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
}
]
}
```
------
**Nota**
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato.
Se l'utente che crea il log non è proprietario del bucket o non dispone delle autorizzazioni `GetBucketPolicy` e dei `PutBucketPolicy` permessi per il bucket, la creazione del log ha esito negativo. In questo caso, il proprietario del bucket deve aggiungere manualmente la politica precedente al bucket e specificare l'ID del creatore del log. Account AWS Per ulteriori informazioni, consulta [Come aggiungere una policy per un bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nella *Guida per l'utente di Amazon Simple Storage Service*. Se il bucket riceve log da più account, aggiungi un `Resource` elemento all'`AWSLogDeliveryWrite`informativa relativa a ciascun account.
Ad esempio, la seguente politica sui bucket consente di Account AWS `111122223333` pubblicare i log in un bucket denominato: `aws-waf-logs-LOGGING-BUCKET-SUFFIX`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
}
]
}
```
------
**Nota**
In alcuni casi, potresti riscontrare errori`AccessDenied` in AWS CloudTrail se l'autorizzazione `s3:ListBucket` non è stata concessa a `delivery.logs.amazonaws.com`. Per evitare questi errori nei CloudTrail log, è necessario concedere l'`s3:ListBucket`autorizzazione `delivery.logs.amazonaws.com` e includere i `Condition` parametri mostrati con l'`s3:GetBucketAcl `autorizzazione impostata nella precedente policy del bucket. Per semplificare questa operazione, invece di crearne uno nuovo`Statement`, puoi aggiornare direttamente il file to be. `AWSLogDeliveryAclCheck` `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Autorizzazioni per l'utilizzo AWS Key Management Service con una chiave KMS
Se la destinazione di registrazione utilizza la crittografia lato server con chiavi archiviate in AWS Key Management Service (SSE-KMS) e utilizzi una chiave gestita dal cliente (chiave KMS), devi autorizzare l'uso della tua chiave KMS. AWS WAF A tale scopo, aggiungi una politica chiave alla chiave KMS per la destinazione scelta. Ciò consente la AWS WAF registrazione per scrivere i file di registro nella destinazione.
Aggiungi la seguente policy chiave alla tua chiave KMS per consentire l'accesso AWS WAF al tuo bucket Amazon S3.
```
{
"Sid": "Allow AWS WAF to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": "kms:GenerateDataKey*",
"Resource": "*"
}
```
## Autorizzazioni necessarie per accedere ai file di registro di Amazon S3
Amazon S3 utilizza le liste di controllo degli accessi (ACLs) per gestire l'accesso ai file di registro creati da un AWS WAF registro. Per impostazione predefinita, il proprietario del bucket dispone di autorizzazioni `FULL_CONTROL` su ogni file di log. Il proprietario della distribuzione dei log, se diverso dal proprietario del bucket, non dispone di autorizzazioni. L’account di distribuzione dei log dispone delle autorizzazioni `READ` e `WRITE`. Per ulteriori informazioni, consulta [Panoramica della lista di controllo accessi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.