本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將網路ACL流量日誌傳送到 Amazon CloudWatch 日誌日誌群組
本主題提供將 Web ACL 流量記錄檔傳送至記錄檔記 CloudWatch 錄群組的相關資訊。
注意
除了使用費外,您還需要支付登錄費用 AWS WAF如需相關資訊,請參閱記錄網路ACL流量資訊的定價。
若要將日誌傳送到 Amazon CloudWatch 日誌,請建立 CloudWatch 日誌日誌群組。啟用登入時 AWS WAF,您可以提供記錄群組ARN。啟用網頁的日誌記錄之後ACL, AWS WAF 將記錄傳送至記 CloudWatch 錄串流中的記錄檔記錄群組。
當您使用 CloudWatch 日誌時,您可以ACL在 AWS WAF 控制台。在您的網ACL頁中,選取 [記錄見解] 索引標籤。此選項是透過 CloudWatch 主控台為 Lo CloudWatch gs 提供的記錄深入解析之外的其他選項。
設定下列項目的記錄群組 AWS WAF 網絡ACL日誌與網絡位於同一地區,ACL並使用與您用於管理網絡相同的帳戶ACL。如需設定記 CloudWatch 錄檔記錄群組的詳細資訊,請參閱使用記錄群組和記錄串流。
CloudWatch 記錄檔記錄群組的配額
CloudWatch 記錄具有輸送量的預設最大配額,可供區域內的所有記錄群組共用,您可以要求增加。如果您的記錄需求對於目前的輸送量設定而言太高,您會看到帳戶的PutLogEvents節流指標。若要在「Service Quotas」主控台中檢視限制並要求增加,請參閱CloudWatch 記錄配 PutLogEvents 額
記錄群組命名
您的記錄群組名稱必須以您喜歡的任何尾碼開頭,aws-waf-logs-並且可以結尾,例如aws-waf-logs-testLogGroup2。
產生的ARN格式如下:
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
記錄資料流具有下列命名格式:
Region_web-acl-name_log-stream-number
以下顯示區域ACLTestWebACL中 Web 的記錄資料流範例us-east-1。
us-east-1_TestWebACL_0
將記錄檔發佈至記錄檔所需的 CloudWatch 權限
為記錄 CloudWatch 檔記錄群組設定 Web ACL 流量記錄需要本節所述的權限設定。當您使用其中一個時,會為您設定權限 AWS WAF 完整存取受管理的原則,AWSWAFConsoleFullAccess或AWSWAFFullAccess。如果您想管理對日誌記錄和更細微的訪問 AWS WAF 資源,您可以自己設置權限。如需管理權限的相關資訊,請參閱的存取管理 AWS《IAM使用者指南》中的資源。如需有關的資訊 AWS WAF
受管理的策略,請參閱AWS 受管理的政策 AWS WAF。
這些權限可讓您變更 Web ACL 記錄組態、設定記錄 CloudWatch 檔的記錄傳遞,以及擷取記錄群組的相關資訊。這些權限必須附加至您用來管理的使用者 AWS WAF.
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
當所有人都允許執行動作時 AWS 資源,它在策略中以"Resource"設定為表示"*"。這意味著所有操作都允許 AWS 每個動作支援的資源。例如,只有wafv2記錄組態資源才支援動作wafv2:PutLoggingConfiguration。
