Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Senden von Protection Pack- oder Web-ACL-Traffic-Logs an einen Amazon Data Firehose-Lieferstream
Dieser Abschnitt enthält Informationen zum Senden Ihres Protection Packs oder Ihrer Web-ACL-Traffic-Logs an einen Amazon Data Firehose-Lieferstream.
Anmerkung
Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter Preise für die Protokollierung von Protection Pack- oder Web-ACL-Verkehrsinformationen.
Um Protokolle an Amazon Data Firehose zu senden, senden Sie Protokolle von Ihrem Protection Pack oder Ihrer Web-ACL an einen Amazon Data Firehose-Lieferstream, den Sie in Firehose konfigurieren. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden Protokolle über den HTTPS-Endpunkt von Firehose an Ihr Speicherziel gesendet.
Ein AWS WAF Protokoll entspricht einem Firehose-Datensatz. Wenn Sie normalerweise 10.000 Anfragen pro Sekunde erhalten und vollständige Protokolle aktivieren, sollten Sie in Firehose eine Einstellung von 10.000 Datensätzen pro Sekunde haben. Wenn Sie Firehose nicht richtig konfigurieren, AWS WAF werden nicht alle Protokolle aufgezeichnet. Weitere Informationen finden Sie unter Amazon Kinesis Data Firehose-Kontingente.
Informationen dazu, wie Sie einen Amazon Data Firehose-Lieferstream erstellen und Ihre gespeicherten Protokolle überprüfen, finden Sie unter Was ist Amazon Data Firehose?
Informationen zur Erstellung Ihres Lieferstreams finden Sie unter Erstellen eines Amazon Data Firehose-Lieferdatenstroms.
Konfiguration eines Amazon Data Firehose-Lieferdatenstroms für Ihr Protection Pack oder Ihre Web-ACL
Konfigurieren Sie wie folgt einen Amazon Firehose Firehose-Lieferstream für Ihr Protection Pack oder Ihre Web-ACL.
-
Erstellen Sie es mit demselben Konto, das Sie für die Verwaltung des Schutzpakets oder der Web-ACL verwenden.
-
Erstellen Sie es in derselben Region wie das Protection Pack oder die Web-ACL. Wenn Sie Logs für Amazon erfassen CloudFront, erstellen Sie die Firehose in der Region USA Ost (Nord-Virginia),
us-east-1. -
Geben Sie dem Data Firehose einen Namen, der mit dem Präfix
aws-waf-logs-beginnt. Beispiel,aws-waf-logs-us-east-2-analytics. -
Konfigurieren Sie ihn für Direct Put, sodass Anwendungen direkt auf den Bereitstellungsstrom zugreifen können. Wählen Sie in der Amazon Data Firehose-Konsole
für die Einstellung Delivery Stream Source die Option Direct PUT oder andere Quellen aus. Legen Sie über die API die Eigenschaft DeliveryStreamTypedes Bereitstellungsstroms aufDirectPutfest.Anmerkung
Verwenden Sie keinen
Kinesis streamals Ihre Quelle.
Zum Veröffentlichen von Protokollen in einem Amazon Data Firehose-Lieferstream sind Berechtigungen erforderlich
Informationen zu den für Ihre Kinesis-Data-Firehose-Konfiguration erforderlichen Berechtigungen finden Sie unter Controlling Access with Amazon Kinesis Data Firehose (Zugriff mit Amazon Kinesis Data Firehose steuern).
Sie müssen über die folgenden Berechtigungen verfügen, um die Protection Pack- oder Web-ACL-Protokollierung mit einem Amazon Data Firehose-Lieferstream erfolgreich zu aktivieren.
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
Weitere Informationen zu serviceverknüpften Rollen und zur iam:CreateServiceLinkedRole-Berechtigung finden Sie unter Verwenden von serviceverknüpften Rollen für AWS WAF.
