Envío de registros de tráfico del paquete de protección (ACL web) a un grupo de CloudWatch registros de Amazon Logs - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
Cuotas para CloudWatch los grupos de registrosDenominación de grupos de registro Permisos para el registro de

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de registros de tráfico del paquete de protección (ACL web) a un grupo de CloudWatch registros de Amazon Logs

En este tema se proporciona información para enviar los registros de tráfico del paquete de protección (ACL web) a un grupo de CloudWatch registros.

nota

Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener información, consulte Precios de la información de tráfico del paquete de protección de registro (ACL web).

Para enviar registros a Amazon CloudWatch Logs, debe crear un grupo de CloudWatch registros de registros. Cuando habilita el inicio de sesión AWS WAF, proporciona el ARN del grupo de registros. Después de habilitar el registro para su paquete de protección (ACL web), AWS WAF entrega los registros al grupo de CloudWatch registros en flujos de registros.

Cuando usa CloudWatch Logs, puede explorar los registros de su paquete de protección (ACL web) en la AWS WAF consola. En la página del paquete de protección (ACL web), seleccione la pestaña Información sobre el registro. Esta opción se suma a la información de registro que se proporciona para CloudWatch los registros a través de la CloudWatch consola.

Configure el grupo de registros para los registros del paquete de AWS WAF protección (ACL web) en la misma región que el paquete de protección (ACL web) y utilice la misma cuenta que utilizó para administrar el paquete de protección (ACL web). Para obtener información sobre la configuración de un grupo de CloudWatch registros, consulte Uso de grupos de registros y flujos de registros.

Cuotas para CloudWatch los grupos de registros

CloudWatch Logs tiene una cuota máxima de rendimiento predeterminada, que se comparte entre todos los grupos de registros de una región, y que puede solicitar que se aumente. Si sus requisitos de registro son demasiado altos para la configuración actual de rendimiento, verá las métricas de limitación para PutLogEvents de su cuenta. Para ver el límite en la consola de Service Quotas y solicitar un aumento, consulta la PutLogEvents cuota de CloudWatch Logs.

Denominación de grupos de registro

Los nombres de sus grupos de registro deben empezar aws-waf-logs- por y terminar con el sufijo que desee, por ejemplo, aws-waf-logs-testLogGroup2.

El formato del ARN resultante es el siguiente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Los flujos de registros tienen un formato similar al siguiente: 

Region_web-acl-name_log-stream-number

A continuación, se muestra un ejemplo de flujo de registro para el paquete de protección (ACL web) TestWebACL en la regiónus-east-1. 

us-east-1_TestWebACL_0

Permisos necesarios para publicar CloudWatch registros en Logs

La configuración del registro de tráfico del paquete de protección (ACL web) para un grupo de CloudWatch registros requiere la configuración de permisos que se describe en esta sección. Los permisos se configuran automáticamente cuando utiliza una de las políticas gestionadas de acceso AWS WAF completo, AWSWAFConsoleFullAccess o bienAWSWAFFullAccess. Si desea administrar un acceso más detallado a sus registros y AWS WAF recursos, puede configurar los permisos usted mismo. Para obtener información sobre la administración de permisos, consulte Administración del acceso a AWS los recursos en la Guía del usuario de IAM. Para obtener información sobre las políticas administradas de AWS WAF , consulte AWS políticas gestionadas para AWS WAF.

Estos permisos le permiten cambiar la configuración de registro del paquete de protección (ACL web), configurar la entrega de CloudWatch registros para los registros y recuperar información sobre su grupo de registros. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Cuando se permiten acciones en todos AWS los recursos, se indica en la política con una "Resource" configuración de"*". Esto significa que las acciones están permitidas en todos los AWS recursos compatibles con cada acción. Por ejemplo, la acción wafv2:PutLoggingConfiguration solo se admite para registrar los recursos de configuración wafv2.