Amazon Logs 로그 그룹에 웹 ACL 트래픽 CloudWatch 로그 전송 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
CloudWatch 로그 로그 그룹 할당량로그 그룹 이름 지정 로깅에 대한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Logs 로그 그룹에 웹 ACL 트래픽 CloudWatch 로그 전송

이 주제에서는 웹 ACL 트래픽 로그를 로그 로그 그룹으로 전송하는 데 필요한 정보를 제공합니다. CloudWatch

참고

사용 요금에 추가로 로그인 요금이 부과됩니다. AWS WAF자세한 정보는 웹 ACL 트래픽 정보 로깅 요금 단원을 참조하십시오.

Amazon Logs로 CloudWatch 로그를 보내려면 CloudWatch Logs 로그 그룹을 생성합니다. 로그인을 활성화한 경우 AWS WAF로그 그룹을 제공합니다ARN. 웹 ACL 로깅을 활성화한 후 AWS WAF 로그 스트림의 로그 로그 그룹에 CloudWatch 로그를 전달합니다.

CloudWatch Logs를 사용하면 웹 로그를 ACL 다음에서 탐색할 수 있습니다. AWS WAF 콘솔. 웹 ACL 페이지에서 로깅 인사이트 탭을 선택합니다. 이 옵션은 CloudWatch 콘솔을 통해 CloudWatch 로그에 제공되는 로깅 인사이트에 추가됩니다.

다음에 대해 로그 그룹을 구성하십시오. AWS WAF 웹과 동일한 지역에 ACL 있고 웹을 관리하는 데 사용한 것과 동일한 계정을 사용하는 웹 ACL 로그ACL. 로그 CloudWatch 로그 그룹 구성에 대한 자세한 내용은 로그 그룹 및 로그 스트림 작업을 참조하십시오.

CloudWatch 로그 로그 그룹 할당량

CloudWatch 로그에는 기본적으로 최대 처리량 할당량이 있으며, 이는 지역 내 모든 로그 그룹에서 공유되며, 이 할당량을 늘리도록 요청할 수 있습니다. 로깅 요구 사항이 현재 처리량 설정에 비해 너무 높으면 계정에 PutLogEvents 대한 제한 측정항목이 표시됩니다. Service Quotas 콘솔에서 한도를 확인하고 증가를 요청하려면 로그 할당량을 참조하세요CloudWatch . PutLogEvents

로그 그룹 이름 지정

로그 그룹 이름은 aws-waf-logs-로 시작해야 하며 예를 들어 aws-waf-logs-testLogGroup2 등 끝에는 원하는 접미사를 붙일 수 있습니다.

결과 ARN 형식은 다음과 같습니다.

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

로그 스트림의 이름 지정 형식은 다음과 같습니다.

Region_web-acl-name_log-stream-number

다음은 지역 ACL TestWebACL 내 웹용 로그 스트림의 us-east-1 예시입니다.

us-east-1_TestWebACL_0

로그를 Logs에 게시하는 데 CloudWatch 필요한 권한

로그 CloudWatch 로그 그룹의 웹 ACL 트래픽 로깅을 구성하려면 이 섹션에 설명된 권한 설정이 필요합니다. 권한은 다음 중 하나를 사용할 때 자동으로 설정됩니다. AWS WAF 전체 액세스 관리형 정책 AWSWAFConsoleFullAccess 또는AWSWAFFullAccess. 로깅에 대한 보다 세밀한 액세스를 관리하고 싶은 경우 AWS WAF 리소스, 권한을 직접 설정할 수 있습니다. 권한 관리에 대한 자세한 내용은 액세스 관리를 참조하십시오. AWSIAM사용 설명서의 리소스. 에 대한 자세한 내용은 AWS WAF 관리형 정책은 을 참조하십시오AWS 에 대한 관리형 정책 AWS WAF.

이러한 권한을 통해 웹 ACL 로깅 구성을 변경하고, 로그에 대한 로그 전달을 구성하고, CloudWatch 로그 그룹에 대한 정보를 검색할 수 있습니다. 이러한 권한은 관리하는 데 사용하는 사용자에게 연결되어야 합니다. AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

모든 사용자에게 작업이 허용되는 경우 AWS 리소스는 정책에 "Resource" 설정으로 표시됩니다"*". 즉, 모든 작업에 대해 해당 작업이 허용됩니다. AWS 각 작업이 지원하는 리소스. 예를 들어 wafv2:PutLoggingConfiguration 작업은 wafv2 로깅 구성 리소스에서만 지원됩니다.