**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將保護套件 (Web ACL) 流量日誌傳送至 Amazon Data Firehose 交付串流
<a name="logging-kinesis"></a>

本節提供將保護套件 (Web ACL) 流量日誌傳送至 Amazon Data Firehose 交付串流的資訊。

**注意**  
除了使用 的費用之外，您還需要支付記錄費用 AWS WAF。如需相關資訊，請參閱[記錄保護套件 (Web ACL) 流量資訊的定價](logging-pricing.md)。

若要將日誌傳送至 Amazon Data Firehose，請將日誌從保護套件 (Web ACL) 傳送至您在 Firehose 中設定的 Amazon Data Firehose 交付串流。啟用記錄後， 會透過 Firehose 的 HTTPS 端點將日誌 AWS WAF 傳送至您的儲存目的地。

一個 AWS WAF 日誌等同於一個 Firehose 記錄。如果您通常每秒收到 10，000 個請求並啟用完整日誌，您應該在 Firehose 中具有每秒 10，000 個記錄設定。如果您未正確設定 Firehose， AWS WAF 則不會記錄所有日誌。如需詳細資訊，請參閱 [Amazon Kinesis Data Firehose 配額](https://docs.aws.amazon.com/firehose/latest/dev/limits.html)。

如需有關如何建立 Amazon Data Firehose 交付串流和檢閱儲存日誌的資訊，請參閱[什麼是 Amazon Data Firehose？](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) 

如需建立交付串流的相關資訊，請參閱[建立 Amazon Data Firehose 交付串流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。

## 為您的保護套件設定 Amazon Data Firehose 交付串流 (Web ACL)
<a name="logging-kinesis-configuration"></a>

為您的保護套件 (Web ACL) 設定 Amazon Data Firehose 交付串流，如下所示。
+ 使用您用來管理保護套件 (Web ACL) 的相同帳戶來建立它。
+ 在與保護套件 (Web ACL) 相同的區域中建立它。如果您要擷取 Amazon CloudFront 的日誌，請在美國東部 （維吉尼亞北部） 區域 建立 firehose`us-east-1`。
+ 為資料提供開頭為字首 的名稱`aws-waf-logs-`。例如 `aws-waf-logs-us-east-2-analytics`。
+ 將其設定為直接放置，允許應用程式直接存取交付串流。在 [Amazon Data Firehose 主控台](https://console.aws.amazon.com/firehose)中，針對交付串流**來源**設定，選擇**直接 PUT 或其他來源**。透過 API，將交付串流屬性`DeliveryStreamType`設定為 `DirectPut`。
**注意**  
請勿使用 `Kinesis stream`做為來源。

## 將日誌發佈至 Amazon Data Firehose 交付串流所需的許可
<a name="logging-kinesis-permissions"></a>

若要了解 Kinesis Data Firehose 組態所需的許可，請參閱[使用 Amazon Kinesis Data Firehose 控制存取](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html)。

您必須擁有下列許可，才能使用 Amazon Data Firehose 交付串流成功啟用保護套件 (Web ACL) 記錄。
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

如需服務連結角色和 `iam:CreateServiceLinkedRole` 許可的相關資訊，請參閱 [使用 的服務連結角色 AWS WAF](using-service-linked-roles.md)。