**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將保護套件 (Web ACL) 流量日誌傳送至 Amazon CloudWatch Logs 日誌群組
<a name="logging-cw-logs"></a>

本主題提供將保護套件 (Web ACL) 流量日誌傳送至 CloudWatch Logs 日誌群組的資訊。

**注意**  
除了使用 的費用之外，您還需要支付記錄費用 AWS WAF。如需相關資訊，請參閱[記錄保護套件 (Web ACL) 流量資訊的定價](logging-pricing.md)。

若要將日誌傳送至 Amazon CloudWatch Logs，您可以建立 CloudWatch Logs 日誌群組。啟用登入時 AWS WAF，您會提供日誌群組 ARN。啟用保護套件 (Web ACL) 的記錄後， 會將日誌 AWS WAF 傳遞至日誌串流中的 CloudWatch Logs 日誌群組。

當您使用 CloudWatch Logs 時，您可以在 主控台中探索保護套件 (Web ACL) 的 AWS WAF 日誌。在保護套件 (Web ACL) 頁面中，選取**記錄洞見**索引標籤。此選項是除了透過 CloudWatch 主控台為 CloudWatch Logs CloudWatch 提供的記錄洞見之外的。

在與 AWS WAF 保護套件 (Web ACL) 相同的區域中設定保護套件 (Web ACL) 日誌的日誌群組，並使用與用來管理保護套件 (Web ACL) 相同的帳戶。如需有關設定 CloudWatch Logs 日誌群組的資訊，請參閱[使用日誌群組和日誌串流](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。

## CloudWatch Logs 日誌群組的配額
<a name="logging-cw-logs-quotas"></a>

CloudWatch Logs 具有輸送量的預設最大配額，可在區域內所有日誌群組之間共用，您可以請求增加。如果您的記錄需求對於目前的輸送量設定而言太高，您會看到`PutLogEvents`帳戶的 限流指標。若要在 Service Quotas 主控台中檢視限制並請求提高，請參閱 [CloudWatch Logs PutLogEvents 配額](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88)。

## 日誌群組命名
<a name="logging-cw-logs-naming"></a>

您的日誌群組名稱必須以 開頭`aws-waf-logs-`，並以您喜歡的任何尾碼結尾，例如 `aws-waf-logs-testLogGroup2`。

產生的 ARN 格式如下：

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

日誌串流具有下列命名格式：

```
Region_web-acl-name_log-stream-number
```

以下顯示區域 `TestWebACL`中保護套件 (Web ACL) 的日誌串流範例`us-east-1`。

```
us-east-1_TestWebACL_0
```

## 將日誌發佈至 CloudWatch Logs 所需的許可
<a name="logging-cw-logs-permissions"></a>

為 CloudWatch Logs 日誌群組設定保護套件 (Web ACL) 流量記錄需要本節所述的許可設定。當您使用其中一個 AWS WAF 完整存取受管政策 `AWSWAFConsoleFullAccess`或 時，會為您設定許可`AWSWAFFullAccess`。如果您想要管理對記錄 AWS WAF 和資源的更精細存取，您可以自行設定許可。如需有關管理許可的資訊，請參閱《*IAM 使用者指南*》中的[存取 AWS 資源的管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。如需 受管 AWS WAF 政策的相關資訊，請參閱 [AWS 的 受管政策 AWS WAF](security-iam-awsmanpol.md)。

這些許可可讓您變更保護套件 (Web ACL) 記錄組態、設定 CloudWatch Logs 的日誌交付，以及擷取日誌群組的相關資訊。這些許可必須連接到您用來管理 的使用者 AWS WAF。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

允許對所有 AWS 資源執行動作時，政策中會指出動作，其`"Resource"`設定為 `"*"`。這表示每個動作支援的所有 AWS 資源都允許這些動作。 **例如， 動作僅`wafv2:PutLoggingConfiguration`支援`wafv2`記錄組態資源。