本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

向 Amazon Simple Storage Service 存储桶发送 Web ACL 流量

本主题提供有关将 Web ACL 流量日志发送到 Amazon S3 存储桶的信息。

要将您的 Web ACL 流量日志发送到 Amazon S3，您需要使用与管理Web ACL 相同的账户设置一个 Amazon S3 存储桶，并以 aws-waf-logs- 开头命名该存储桶。启用登录功能时 AWS WAF，您需要提供存储桶名称。有关创建日志记录桶的信息，请参阅 Amazon Simple Storage Service 用户指南中的创建桶。

您可以使用Amazon Athena 交互式查询服务访问和分析您的 Amazon S3 日志。Athena 可让您轻松地使用标准 SQL 直接分析 Amazon S3 中的数据。只需在中执行一些操作 AWS Management Console，您就可以将 Athena 指向存储在 Amazon S3 中的数据，然后快速开始使用标准 SQL 来运行临时查询并获得结果。有关更多信息，请参阅 Amazon Athen a 用户指南中的查询 AWS WAF 日志。有关其他亚马逊 Athena 查询示例，请参阅网站上的 a waf-log-sample-athena ws-samples/- queries。 GitHub

Web 每隔 5 分钟将他们的日志文件 ACLs 发布到 Amazon S3 存储桶。每个日志文件都包含前 5 分钟记录的流量日志记录。

日志文件的最大文件大小为 75 MB。如果日志文件在 5 分钟期间内达到文件大小限制，流日志会停止向它添加流日志记录，将它发布到 Amazon S3 存储桶，然后创建一个新的日志文件。

日志文件是压缩文件。如果使用 Amazon S3 控制台打开文件，Amazon S3 会解压日志记录并显示它们。如果您下载日志文件，则必须对其进行解压才能查看记录。

单个日志文件包含包含多条记录的交错条目。要查看 Web ACL 的所有日志文件，请查找按 Web ACL 名称、区域和您的账户 ID 汇总的条目。

命名要求和语法

用于 AWS WAF 记录的存储桶名称必须以您想要的任何后缀开头，aws-waf-logs-并且可以以任何后缀结尾。例如，aws-waf-logs-LOGGING-BUCKET-SUFFIX。

存储桶位置

存储桶位置使用以下语法：

s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/

存储桶 ARN

存储桶的 Amazon 资源名称（ARN） 格式如下：

arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX

带有前缀的存储桶位置

如果您在对象键名称中使用前缀来组织存储在存储桶中的数据，则可以在日志存储桶名称中提供前缀。

有关在 Amazon S3 中使用前缀的信息，请参阅 Amazon Simple Storage Service 用户指南中的使用前缀组织对象。

带有前缀的存储桶位置使用以下语法：

s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/

存储桶文件夹和文件名

在您的存储桶中，按照您提供的任何前缀，您的 AWS WAF 日志将写入一个文件夹结构，该结构由您的账户 ID、区域、Web ACL 名称以及日期和时间决定。

AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm

在文件夹中，日志文件名遵循类似的格式：

account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz

文件夹结构和日志文件名中使用的时间规范符合时间戳格式规范 YYYYMMddTHHmmZ。

下面显示了 Amazon S3 存储桶中名为 aws-waf-logs-LOGGING-BUCKET-SUFFIX 的存储桶的示例日志文件。那 AWS 账户 是11111111111。Web ACL 是 TEST-WEBACL，区域是 us-east-1。

s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz

向 Amazon S3 存储桶发布日志的所需的权限

为 Amazon S3 存储桶配置 Web ACL 流量日志需要以下权限设置。这些权限是在您使用 AWS WAF 完全访问托管策略 AWSWAFConsoleFullAccess 或 AWSWAFFullAccess 时为您设置的，。如果您想进一步管理对日志记录和 AWS WAF 资源的访问权限，可以自己设置这些权限。有关管理权限的信息，请参阅IAM 用户指南中的 AWS 资源的访问权限管理。有关 AWS WAF 托管策略的信息，请参阅AWS 的托管策略 AWS WAF。

以下权限允许您更改 Web ACL 日志配置和配置向 Amazon S3 存储桶的日志传输。这些权限必须附加到您用来管理 AWS WAF的用户。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
                "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX"
         ],
         "Effect":"Allow"
      }
   ]
}              

如果允许对所有 AWS 资源执行操作，则会在策略中指明，"Resource"设置为"*"。这意味着允许对每个操作支持的所有 AWS 资源执行这些操作。例如，只有 wafv2 日志记录配置资源支持操作 wafv2:PutLoggingConfiguration。

默认情况下，Amazon S3 存储桶以及其中包含的对象都是私有的。只有存储桶拥有者才能访问存储桶和其中存储的对象。不过，存储桶拥有者可以通过编写访问策略来向其他资源和用户授予访问权限。

如果创建日志的用户拥有存储桶，服务会自动向存储桶附加以下策略，以授予日志将日志发布到存储桶的权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/account-id/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["account-id"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:region:account-id:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": ["account-id"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:region:account-id:*"]
        }
      }
    }
  ]
}

如果创建日志的用户不拥有存储桶，也没有存储桶的 GetBucketPolicy 和 PutBucketPolicy 权限，日志创建操作会失败。在这种情况下，存储桶拥有者必须手动将上述策略添加到存储桶，并指定日志创建者的 AWS 账户 ID。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南 中的如何添加 S3 存储桶策略？ 如果存储桶从多个账户接收日志，则将 Resource 元素条目添加到每个账户的 AWSLogDeliveryWrite 策略语句。

例如，以下存储桶策略允许 AWS 账户 111122223333向名为的存储桶发布日志aws-waf-logs-LOGGING-BUCKET-SUFFIX：

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
                "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}

使用 AWS Key Management Service KMS 密钥的权限

如果您的登录目标使用服务器端加密，密钥存储在 AWS Key Management Service (SSE-KMS) 中，并且您使用客户托管密钥（KMS 密钥），则必须授予使用您的 KMS 密钥的 AWS WAF 权限。为此，您需要为所选目标的 KMS 密钥添加密钥政策。这允许 AWS WAF 日志记录将您的日志文件写入您的目标。

将以下密钥策略添加到您的 KMS 密钥中，以允许登录 AWS WAF 到您的 Amazon S3 存储桶。

{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

访问 Amazon S3 日志文件所需的权限

Amazon S3 使用访问控制列表 (ACLs) 来管理对由日志创建的 AWS WAF 日志文件的访问权限。默认情况下，存储桶拥有者对每个日志文件具有 FULL_CONTROL 权限。如果日志传输拥有者与存储桶拥有者不同，则没有权限。日志传输账户具有 READ 和 WRITE 权限。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南 中的访问控制列表 (ACL) 概述。