As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Envio de registros ACL de tráfego da web para um bucket do Amazon Simple Storage Service
Este tópico fornece informações para enviar seus registros de ACL tráfego da web para um bucket do Amazon S3.
nota
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para ter mais informações, consulte Preços para registrar informações de tráfego de web ACL.
Para enviar seus registros de ACL tráfego da web para o Amazon S3, você configura um bucket do Amazon S3 a partir da mesma conta que usa para gerenciar a ACL web e nomeia o bucket começando com. aws-waf-logs- Ao ativar o login AWS WAF, você fornece o nome do bucket. Para obter informações sobre como criar um bucket de log, consulte Criar um bucket, no Guia do usuário do Amazon Simple Storage Service.
Você pode acessar e analisar seus logs do Amazon S3 usando o serviço de consulta interativa do Amazon Athena. O Athena facilita a análise de dados diretamente no Amazon S3 usando o padrão. SQL Com algumas ações no AWS Management Console, você pode direcionar o Athena para seus dados armazenados no Amazon S3 e começar rapidamente a usar o SQL padrão para executar consultas ad-hoc e obter resultados. Para obter mais informações, consulte Como consultar AWS WAF registros no guia do usuário do Amazon Athena. Para exemplos adicionais de consultas do Amazon Athena, consulte waf-log-sample-athenaaws-samples/
nota
AWS WAF suporta criptografia com buckets Amazon S3 para o tipo de chave Amazon S3 (-S3) e para (SSE-). AWS Key Management Service SSE KMS AWS KMS keys AWS WAF não oferece suporte à criptografia para AWS Key Management Service chaves gerenciadas pelo AWS.
Sua web ACLs publica seus arquivos de log no bucket do Amazon S3 em intervalos de 5 minutos. Cada arquivo de log contém os registros de log de fluxo para o tráfego de IP registrado nos últimos cinco minutos.
O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log para de adicionar registros de log de fluxo, publica o arquivo no bucket do Amazon S3 e cria um novo arquivo de log.
Os arquivos de log são compactados. Se você abrir os arquivos usando o console do Amazon S3, o Amazon S3 descompacta os registros de log e os exibe. Se você baixar os arquivos de log, será necessário descompactá-los para visualizar os registros de log de fluxo.
Um único arquivo de log contém entradas intercaladas com vários registros. Para ver todos os arquivos de log de uma webACL, procure entradas agregadas pelo ACL nome da web, região e ID da sua conta.
Requisitos de nomenclatura e sintaxe
Os nomes dos seus buckets para AWS WAF registro devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser. Por exemplo, aws-waf-logs-. LOGGING-BUCKET-SUFFIX
Localização do bucket
Os locais do bucket usam a seguinte sintaxe:
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
Balde ARN
O formato do bucket Amazon Resource Name (ARN) é o seguinte:
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
Localizações de buckets com prefixos
Se você usar prefixos no nome das chaves de objeto para organizar os dados que você armazena nos seus buckets, você pode fornecer seus prefixos nos nomes dos buckets de logs.
nota
Essa opção não está disponível no console. Use o AWS WAF APIs,CLI, ou AWS CloudFormation.
Para obter informações sobre o uso de prefixos no Amazon S3, consulte Organização de objetos usando prefixos no Guia do usuário do Amazon Simple Storage Service.
Os locais do bucket com prefixos usam a seguinte sintaxe:
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
Pastas e nomes de arquivos do bucket
Dentro de seus buckets, e seguindo os prefixos fornecidos por você, seus AWS WAF registros são gravados em uma estrutura de pastas determinada pelo ID da conta, pela região, pelo ACL nome da web e pela data e hora.
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
Dentro das pastas, os nomes dos arquivos de log seguem um formato semelhante:
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
As especificações de hora usadas na estrutura de pastas e no nome do arquivo de log seguem a especificação de formato de timestamp YYYYMMddTHHmmZ.
Veja abaixo um exemplo de arquivo de log em um bucket do Amazon S3 para um bucket chamado aws-waf-logs-. O Conta da AWS éLOGGING-BUCKET-SUFFIX11111111111. A web ACL é TEST-WEBACL e a região éus-east-1.
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
nota
Os nomes dos seus buckets para AWS WAF registro devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser.
Permissões necessárias para publicar logs no Amazon S3
A configuração do registro de ACL tráfego da web para um bucket do Amazon S3 requer as seguintes configurações de permissões. Essas permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso total do AWS WAF , AWSWAFConsoleFullAccess ou AWSWAFFullAccess. Se você quiser gerenciar um acesso mais refinado ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir essas permissões. Para obter informações sobre o gerenciamento de permissões, consulte Gerenciamento de acesso para AWS
recursos no Guia IAM do usuário. Para obter informações sobre as políticas AWS WAF gerenciadas, consultePolíticas gerenciadas pela AWS para o AWS WAF.
As permissões a seguir permitem que você altere a configuração de ACL registro na web e configure a entrega de registros para seu bucket do Amazon S3. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF.
nota
Ao definir as permissões listadas abaixo, você pode ver erros em seus AWS CloudTrail registros que indicam acesso negado, mas as permissões estão corretas para o AWS WAF registro.
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" }, { "Sid":"WebACLLogDelivery", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Effect":"Allow" }, { "Sid":"WebACLLoggingS3", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX" ], "Effect":"Allow" } ] }
Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma "Resource" configuração de"*". Isso significa que as ações são permitidas em todos os AWS recursos que cada ação suporta. Por exemplo, a ação wafv2:PutLoggingConfiguration é suportada somente para wafv2 registrar recursos de configuração.
Por padrão, os buckets do Amazon S3 e os objetos que eles contêm são privados. Somente o proprietário do bucket pode acessá-los. No entanto, o proprietário do bucket pode conceder acesso a outros recursos e usuários por meio da criação de uma política de acesso.
Se o usuário que cria um log de fluxo possui o bucket, o serviço anexa automaticamente as políticas de bucket a seguir para conceder permissão ao log de fluxo para publicar logs nele:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } } ] }
nota
Os nomes dos seus buckets para AWS WAF registro devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser.
Se o usuário que cria o log não possui o bucket nem tem as permissões GetBucketPolicy e PutBucketPolicy para o bucket, ocorre uma falha na criação do log de fluxo. Nesse caso, o proprietário do bucket deve adicionar manualmente as políticas acima ao bucket e especificar o ID do Conta da AWS do criador do log. Para obter mais informações, consulte Como adiciono uma política de bucket do S3? no Guia do usuário do Amazon Simple Storage Service. Se o bucket recebe logs de fluxo de várias contas, adicione uma entrada de elemento Resource à instrução de política AWSLogDeliveryWrite para cada conta.
Por exemplo, a política de bucket a seguir Conta da AWS
111122223333 permite publicar registros em um bucket chamadoaws-waf-logs-:LOGGING-BUCKET-SUFFIX
{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/111122223333/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX", "Condition": { "StringEquals": { "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } } ] }
Permissões para usar AWS Key Management Service com uma KMS chave
Se seu destino de registro usa criptografia do lado do servidor com chaves armazenadas em AWS Key Management Service (SSE-KMS) e você usa uma chave gerenciada pelo cliente (KMSchave), você deve dar AWS WAF permissão para usar sua chave. KMS Para fazer isso, você adiciona uma política de KMS chaves à chave do destino escolhido. Isso permite que os logs do AWS WAF gravem seus arquivos de log no seu destino.
Adicione a seguinte política de chaves à sua KMS chave AWS WAF para permitir o login em seu bucket do Amazon S3.
{ "Sid": "Allow AWS WAF to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*" }
Permissões necessárias para acessar arquivos de log do Amazon S3
O Amazon S3 usa listas de controle de acesso (ACLs) para gerenciar o acesso aos arquivos de log criados por um AWS WAF
log. Por padrão, o proprietário do bucket tem permissões FULL_CONTROL em cada arquivo de log. O proprietário da entrega de logs, se é diferente do proprietário do bucket, não tem nenhuma permissão. A conta de entrega de logs tem permissões READ e WRITE. Para obter mais informações, consulte Visão geral da lista de controle de acesso (ACL) no Guia do usuário do Amazon Simple Storage Service.
