Senden von Protection Pack- oder Web-ACL-Traffic-Logs an eine Amazon CloudWatch Logs-Protokollgruppe - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Senden von Protection Pack- oder Web-ACL-Traffic-Logs an eine Amazon CloudWatch Logs-Protokollgruppe

Dieses Thema enthält Informationen zum Senden Ihrer Protection Pack- oder Web-ACL-Traffic-Logs an eine CloudWatch Logs-Protokollgruppe.

Anmerkung

Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter Preise für die Protokollierung von Protection Pack- oder Web-ACL-Verkehrsinformationen.

Um Protokolle an Amazon CloudWatch Logs zu senden, erstellen Sie eine CloudWatch Logs-Protokollgruppe. Wenn Sie die Anmeldung aktivieren AWS WAF, geben Sie den ARN der Protokollgruppe an. Nachdem Sie die Protokollierung für Ihr Protection Pack oder Ihre Web-ACL aktiviert haben, AWS WAF werden die CloudWatch Protokolle in Protokolldatenströmen an die Protokollgruppe Logs übermittelt.

Wenn Sie CloudWatch Logs verwenden, können Sie sich die Logs für Ihr Protection Pack oder Ihre Web-ACL in der AWS WAF Konsole ansehen. Wählen Sie auf Ihrer Protection Pack- oder Web-ACL-Seite den Tab Logging Insights aus. Diese Option ist eine Ergänzung zu den Protokollierungsergebnissen, die für CloudWatch Logs über die CloudWatch Konsole bereitgestellt werden.

Konfigurieren Sie die Protokollgruppe für AWS WAF Protection Pack- oder Web-ACL-Protokolle in derselben Region wie das Protection Pack oder die Web-ACL und verwenden Sie dasselbe Konto, das Sie für die Verwaltung des Protection Packs oder der Web-ACL verwenden. Informationen zur Konfiguration einer CloudWatch Logs-Log-Gruppe finden Sie unter Arbeiten mit Protokollgruppen und Log-Streams.

Kontingente für CloudWatch Log-Log-Gruppen

CloudWatch Logs hat standardmäßig ein maximales Kontingent für den Durchsatz, das auf alle Protokollgruppen innerhalb einer Region aufgeteilt wird und dessen Erhöhung Sie beantragen können. Wenn Ihre Protokollierungsanforderungen für die aktuelle Durchsatzeinstellung zu hoch sind, werden Ihnen Drosselungskennzahlen PutLogEvents für Ihr Konto angezeigt. Informationen zum Limit in der Konsole für Service Quotas und zur Beantragung einer Erhöhung finden Sie unter CloudWatch PutLogEvents Protokollkontingent.

Benennung von Protokollgruppen

Die Namen Ihrer Protokollgruppen müssen mit aws-waf-logs- beginnen und können mit einem beliebigen Suffix enden, z. B. aws-waf-logs-testLogGroup2.

Das resultierende ARN-Format lautet folgendermaßen:

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Die Protokollstreams haben das folgende Benennungsformat:

Region_web-acl-name_log-stream-number

Im Folgenden wird ein Beispiel für einen Protokollstream für das Protection Pack oder die Web-ACL TestWebACL in Region gezeigtus-east-1.

us-east-1_TestWebACL_0

Zum Veröffentlichen von Protokollen in Logs sind Berechtigungen erforderlich CloudWatch

Für die Konfiguration des Protection Packs oder der CloudWatch Web-ACL-Datenverkehrsprotokollierung für eine Logs-Protokollgruppe sind die in diesem Abschnitt beschriebenen Berechtigungseinstellungen erforderlich. Die Berechtigungen werden für Sie festgelegt, wenn Sie eine der verwalteten Richtlinien AWS WAF mit vollem Zugriff verwenden, AWSWAFConsoleFullAccess oderAWSWAFFullAccess. Wenn Sie den Zugriff auf Ihre Protokollierung und AWS WAF Ressourcen detaillierter verwalten möchten, können Sie die Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch. Weitere Informationen zu durch AWS WAF verwalteten Richtlinien finden Sie unter AWS verwaltete Richtlinien für AWS WAF.

Mit diesen Berechtigungen können Sie die Konfiguration des Protection Packs oder der Web-ACL-Protokollierung ändern, die Protokollzustellung für CloudWatch Protokolle konfigurieren und Informationen über Ihre Protokollgruppe abrufen. Diese Berechtigungen müssen an den Benutzer angehängt werden, den Sie zur Verwaltung von AWS WAF verwenden.

{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie mit der "Resource" Einstellung von angegeben"*". Das bedeutet, dass die Aktionen für alle AWS Ressourcen zulässig sind, die jede Aktion unterstützt. Die Aktion wafv2:PutLoggingConfiguration wird beispielsweise nur für wafv2-Protokollkonfigurationsressourcen unterstützt.