**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将保护包（web ACL）流量日志发送到 Amazon Data Firehose 传输流
<a name="logging-kinesis"></a>

本节提供将保护包（web ACL）流量日志发送到 Amazon Data Firehose 传输流的信息。

**注意**  
除了 AWS WAF使用费用外，您还需要支付登录费用。有关信息，请参阅[日志记录保护包（web ACL）流量信息的定价](logging-pricing.md)。

要将日志发送到 Amazon Data Firehose，请将保护包（web ACL）中的日志发送到您在 Firehose 中配置的 Amazon Data Firehose 传输流。启用日志记录后，通过 Firehose 的 HTTPS 端点将日志 AWS WAF 传送到您的存储目标。

一个 AWS WAF 日志等同于一个 Firehose 记录。如果您通常每秒接收 1 万个请求并启用了完整日志，您的 Firehose 中应具有每秒 1 万个记录的设置。如果您未正确配置 Firehose，则 AWS WAF 不会记录所有日志。有关更多信息，请参阅 [Amazon Kinesis Data Firehose 限额](https://docs.aws.amazon.com/firehose/latest/dev/limits.html)。

有关如何使用 Amazon Data Firehose 传输流以及如何查看存储的日志的信息，请参阅[什么是 Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) 

有关创建传输流的信息，请参阅[创建 Amazon Data Firehose 传输流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。

## 为保护包（web ACL）配置 Amazon Data Firehose 传输流
<a name="logging-kinesis-configuration"></a>

如下所示，为保护包（web ACL）配置 Amazon Data Firehose 传输流。
+ 使用与管理保护包（web ACL）相同的账户以进行创建。
+ 将其创建在与保护包（web ACL）相同的区域中。如果您要为 Amazon 捕获日志 CloudFront，请在美国东部（弗吉尼亚北部）地区创建 firehose。`us-east-1`
+ 为数据消防队指定一个以前缀 `aws-waf-logs-` 开头的名称。例如 `aws-waf-logs-us-east-2-analytics`。
+ 将其配置为直接放置，这样应用程序就可以直接访问传送流。在 [Amazon Data Firehose 控制台](https://console.aws.amazon.com/firehose)中，对于传输流**来源**设置，选择 **Direct PUT 或其他来源**。通过 API，将传送流属性 `DeliveryStreamType` 设置 为 `DirectPut`。
**注意**  
请勿使用 `Kinesis stream` 作为来源。

## 将日志发布到 Amazon Data Firehose 传输流所需的权限
<a name="logging-kinesis-permissions"></a>

要了解 Kinesis Data Firehose 配置所需的权限，[请参阅 使用 Amazon Kinesis Data Firehose 控制访问](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html)。

您必须拥有以下权限才能成功启用 Amazon Data Firehose 传输流的保护包（web ACL）日志。
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

有关服务相关角色以及 `iam:CreateServiceLinkedRole` 权限的信息，请参阅 [将服务相关角色用于 AWS WAF](using-service-linked-roles.md)。