向 Amazon 简单存储服务存储桶发送网络ACL流量日志 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

向 Amazon 简单存储服务存储桶发送网络ACL流量日志

本主题提供有关将您的网络ACL流量日志发送到 Amazon S3 存储桶的信息。

注意

除了使用费用外,您还需要支付登录费用 AWS WAF有关信息,请参阅记录网络ACL流量信息的定价

要将您的网络ACL流量日志发送到 Amazon S3,您需要使用与管理网站相同的账户设置一个 Amazon S3 存储桶ACL,并以开头命名该存储桶aws-waf-logs-。启用登录功能时 AWS WAF,您需要提供存储桶名称。有关创建日志记录桶的信息,请参阅 Amazon Simple Storage Service 用户指南中的创建桶

您可以使用Amazon Athena 交互式查询服务访问和分析您的 Amazon S3 日志。Athena 可以轻松地使用标准直接在 Amazon S3 中分析数据。SQL里面有几个动作 AWS Management Console,您可以将 Athena 指向存储在 Amazon S3 中的数据,然后快速开始使用SQL标准来运行临时查询并获得结果。有关更多信息,请参阅查询 AWS WAF登录亚马逊 Athena 用户指南。有关其他亚马逊 Athena 查询示例,请参阅网站上的 a waf-log-sample-athena ws-samples/- queries。 GitHub

注意

AWS WAF 支持使用亚马逊 S3 存储桶对密钥类型亚马逊 S3 密钥 (SSE-S3) 进行加密 AWS Key Management Service (SSE-KMS) AWS KMS keys. AWS WAF 不支持以下项的加密 AWS Key Management Service 由管理的密钥 AWS.

您的网站每隔 5 分钟将他们的日志文件ACLs发布到 Amazon S3 存储桶。每个日志文件都包含前 5 分钟记录的流量日志记录。

日志文件的最大文件大小为 75 MB。如果日志文件在 5 分钟期间内达到文件大小限制,流日志会停止向它添加流日志记录,将它发布到 Amazon S3 存储桶,然后创建一个新的日志文件。

日志文件是压缩文件。如果使用 Amazon S3 控制台打开文件,Amazon S3 会解压日志记录并显示它们。如果您下载日志文件,则必须对其进行解压才能查看记录。

单个日志文件包含包含多条记录的交错条目。要查看网站的所有日志文件ACL,请查找按网站ACL名称、地区和您的账户 ID 汇总的条目。

命名要求和语法

您的存储桶名称 AWS WAF logging 必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。例如,aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX

存储桶位置

存储桶位置使用以下语法:

s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/
水桶 ARN

存储桶 Amazon 资源名称 (ARN) 的格式如下:

arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX
带有前缀的存储桶位置

如果您在对象键名称中使用前缀来组织存储在存储桶中的数据,则可以在日志存储桶名称中提供前缀。

注意

此选项在控制台中不可用。使用 AWS WAF APIsCLI、或 AWS CloudFormation.

有关在 Amazon S3 中使用前缀的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用前缀组织对象

带有前缀的存储桶位置使用以下语法:

s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/DOC-EXAMPLE-KEY-NAME-PREFIX/
存储桶文件夹和文件名

在你的存储桶里,在你提供的任何前缀之后,你的 AWS WAF 日志以文件夹结构写入,该结构由您的账户 ID、区域、网络ACL名称以及日期和时间决定。

AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm

在文件夹中,日志文件名遵循类似的格式:

account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz

文件夹结构和日志文件名中使用的时间规范符合时间戳格式规范 YYYYMMddTHHmmZ

下面显示了 Amazon S3 存储桶中名为 DOC-EXAMPLE-BUCKET 的存储桶的示例日志文件。这些区域有: AWS 账户 是11111111111。网络ACL是TEST-WEBACL,地区是us-east-1

s3://DOC-EXAMPLE-BUCKET/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
注意

您的存储桶名称 AWS WAF logging 必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。

向 Amazon S3 存储桶发布日志的所需的权限

为 Amazon S3 存储桶配置网络ACL流量日志需要以下权限设置。这些权限是在您使用其中一个权限时为您设置的 AWS WAF 完全访问托管策略,AWSWAFConsoleFullAccessAWSWAFFullAccess。如果您想更精细地管理对日志记录的访问权限以及 AWS WAF 资源,你可以自己设置这些权限。有关管理权限的信息,请参阅访问权限管理 AWS 《IAM用户指南中的资源。有关信息 AWS WAF 托管策略,请参阅AWS 的托管策略 AWS WAF

以下权限允许您更改网络ACL日志配置和配置向 Amazon S3 存储桶的日志传输。这些权限必须附加到您用来管理的用户 AWS WAF.

注意

当你设置下面列出的权限时,你可能会在你的权限中看到错误 AWS CloudTrail 显示访问被拒绝,但权限正确的日志 AWS WAF 记录。

{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" }, { "Sid":"WebACLLogDelivery", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Effect":"Allow" }, { "Sid":"WebACLLoggingS3", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket" ], "Effect":"Allow" } ] }

当允许对所有人执行操作时 AWS 资源,它在策略中指明,"Resource"设置为"*"。这意味着允许对所有人执行这些操作 AWS 每个操作支持的资源。例如,只有 wafv2 日志记录配置资源支持操作 wafv2:PutLoggingConfiguration

默认情况下,Amazon S3 存储桶以及其中包含的对象都是私有的。只有存储桶拥有者才能访问存储桶和其中存储的对象。不过,存储桶拥有者可以通过编写访问策略来向其他资源和用户授予访问权限。

如果创建日志的用户拥有存储桶,服务会自动向存储桶附加以下策略,以授予日志将日志发布到存储桶的权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/AWSLogs/account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } } ] }
注意

您的存储桶名称 AWS WAF logging 必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。

如果创建日志的用户不拥有存储桶,也没有存储桶的 GetBucketPolicyPutBucketPolicy 权限,日志创建操作会失败。在这种情况下,存储桶拥有者必须手动将上述策略添加到存储桶中,并指定日志创建者的策略 AWS 账户 同义词。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南 中的如何添加 S3 存储桶策略? 如果存储桶从多个账户接收日志,则将 Resource 元素条目添加到每个账户的 AWSLogDeliveryWrite 策略语句。

例如,以下存储桶策略允许 AWS 账户 111122223333将日志发布到名为aws-waf-logs-amzn-s3-demo-bucket:的存储桶

{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/AWSLogs/111122223333/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket", "Condition": { "StringEquals": { "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } } ] }

使用权限 AWS Key Management Service 用KMS钥匙

如果您的登录目标使用服务器端加密,且密钥存储在 AWS Key Management Service (SSE-KMS) 并且您使用客户管理的密钥(KMS密钥),则必须提供 AWS WAF 允许使用您的KMS密钥。为此,您需要为所选目的地的KMS密钥添加密钥策略。这允许 AWS WAF 登录以将日志文件写入目的地。

在您的密钥中添加以下KMS密钥策略以允许 AWS WAF 登录到您的 Amazon S3 存储桶。

{ "Sid": "Allow AWS WAF to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*" }

访问 Amazon S3 日志文件所需的权限

Amazon S3 使用访问控制列表 (ACLs) 来管理对由创建的日志文件的访问权限 AWS WAF 日志。默认情况下,存储桶拥有者对每个日志文件具有 FULL_CONTROL 权限。如果日志传输拥有者与存储桶拥有者不同,则没有权限。日志传输账户具有 READWRITE 权限。有关更多信息,请参阅《亚马逊简单存储服务用户指南》中的访问控制列表 (ACL) 概述