Amazon CloudWatch Logs 로그 그룹에 웹 ACL 트래픽 로그 전송 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
CloudWatch Logs 로그 그룹에 대한 할당량로그 그룹 이름 지정 로깅에 대한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon CloudWatch Logs 로그 그룹에 웹 ACL 트래픽 로그 전송

이 주제에서는 CloudWatch Logs 로그 그룹에 웹 ACL 트래픽 로그를 전송하는 방법에 대해 설명합니다.

참고

AWS WAF 사용 요금 외에 로그인 요금이 부과됩니다. 자세한 내용은 웹 ACL 트래픽 정보 로깅 요금 섹션을 참조하세요.

Amazon CloudWatch Logs로 로그를 전송하려면 CloudWatch Logs 로그 그룹을 생성합니다. AWS WAF 로깅을 활성화하면 로그 그룹 ARN을 제공할 수 있습니다. 웹 ACL에 대한 로깅을 활성화하면 AWS WAF는 로그를 로그 스트림 형태로 CloudWatch Logs 로그 그룹에 전송합니다.

CloudWatch Logs를 사용하면 AWS WAF 콘솔에서 웹 ACL에 대한 로그를 탐색할 수 있습니다. 웹 ACL 페이지에서 로깅 인사이트 탭을 선택합니다. 이 옵션은 CloudWatch 콘솔을 통해 CloudWatch Logs에 대해 제공되는 로깅 인사이트에 추가됩니다.

웹 ACL과 동일한 리전에 있고 웹 ACL을 관리하는 데 사용한 것과 동일한 계정을 사용하여 AWS WAF 웹 ACL 로그에 대한 로그 그룹을 구성합니다. CloudWatch Logs 로그 그룹의 구성에 대한 자세한 내용은 로그 그룹 및 로그 스트림 작업을 참조하세요.

CloudWatch Logs 로그 그룹에 대한 할당량

CloudWatch Logs에는 하나의 리전 내의 모든 로그 그룹 간에 공유되는 처리량에 대한 기본 최대 할당량이 있으며, 이를 늘리도록 요청할 수 있습니다. 로깅 요구 사항이 현재 처리량 설정에 비해 너무 높으면 계정에 대한 PutLogEvents의 스로틀링 지표가 표시됩니다. Service Quotas 콘솔에서 제한을 보고 증가를 요청하려면 CloudWatch Logs PutLogEvents 할당량을 참조하세요.

로그 그룹 이름 지정

로그 그룹 이름은 aws-waf-logs-로 시작해야 하며 예를 들어 aws-waf-logs-testLogGroup2 등 끝에는 원하는 접미사를 붙일 수 있습니다.

결과 ARN 형식은 다음과 같습니다.

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

로그 스트림의 이름 지정 형식은 다음과 같습니다.

Region_web-acl-name_log-stream-number

다음은 리전 us-east-1의 웹 TestWebACL ACL에 대한 예제 로그 스트림입니다.

us-east-1_TestWebACL_0

로그를 CloudWatch Logs에 게시하는 데 필요한 권한

CloudWatch Logs 로그 그룹에 대한 웹 ACL 트래픽 로깅을 구성하려면 이 섹션에 설명된 권한 설정이 필요합니다. 이러한 권한은 AWS WAF 전체 액세스 관리형 정책(AWSWAFConsoleFullAccess 또는 AWSWAFFullAccess) 중 하나를 사용할 때 설정됩니다. 로깅 및 AWS WAF 리소스에 대한 보다 세분화된 액세스를 관리하려는 경우 이러한 권한을 직접 설정할 수 있습니다. 권한 관리에 관한 자세한 내용은 IAM 사용 설명서AWS 리소스에 대한 액세스 관리를 참조하세요. AWS WAF 관리형 정책에 대한 자세한 내용은 AWS WAF의 AWS 관리형 정책을 참조하세요.

이러한 권한을 통해 웹 ACL 로깅 구성을 변경하고, CloudWatch Logs에 대한 로그 전송을 구성하며, 로그 그룹에 대한 정보를 검색할 수 있습니다. 이러한 권한은 AWS WAF를 관리하는 데 사용하는 사용자에게 연결되어야 합니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

모든 AWS 리소스에 대해 작업이 허용되면 정책에서 "Resource" 설정이 "*"로 표시됩니다. 즉, 각 작업에서 지원하는 모든 AWS 리소스에 대해 해당 작업이 허용됩니다. 예를 들어 wafv2:PutLoggingConfiguration 작업은 wafv2 로깅 구성 리소스에서만 지원됩니다.