Memperkenalkan pengalaman konsol baru untuk AWS WAF
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengirim log lalu lintas paket perlindungan (ACL web) ke grup CloudWatch log Amazon Logs
Topik ini memberikan informasi untuk mengirim log lalu lintas paket perlindungan (ACL web) Anda ke grup CloudWatch log Log.
catatan
Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL).
Untuk mengirim log ke Amazon CloudWatch Logs, Anda membuat grup CloudWatch log Log. Saat Anda mengaktifkan login AWS WAF, Anda memberikan grup log ARN. Setelah mengaktifkan pencatatan untuk paket perlindungan (web ACL), AWS WAF kirimkan log ke grup CloudWatch log Log di aliran log.
Saat menggunakan CloudWatch Log, Anda dapat menjelajahi log untuk paket perlindungan (web ACL) di AWS WAF konsol. Di halaman paket perlindungan (web ACL) Anda, pilih tab Wawasan log. Opsi ini merupakan tambahan dari wawasan logging yang disediakan untuk CloudWatch Log melalui CloudWatch konsol.
Konfigurasikan log grup log untuk log paket AWS WAF perlindungan (web ACL) di Wilayah yang sama dengan paket perlindungan (web ACL) dan gunakan akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan (web ACL). Untuk informasi tentang mengonfigurasi grup CloudWatch log Log, lihat Bekerja dengan Grup Log dan Aliran Log.
Kuota untuk grup CloudWatch log Log
CloudWatch Log memiliki kuota maksimum default untuk throughput, dibagikan di semua grup log dalam suatu wilayah, yang dapat Anda minta untuk ditingkatkan. Jika persyaratan pencatatan Anda terlalu tinggi untuk pengaturan throughput saat ini, Anda akan melihat metrik pembatasan untuk PutLogEvents akun Anda. Untuk melihat limit di konsol Service Quotas dan meminta peningkatan, lihat kuota CloudWatch Log PutLogEvents
Penamaan grup log
Nama grup log Anda harus dimulai dengan aws-waf-logs- dan dapat diakhiri dengan akhiran apa pun yang Anda suka, misalnya,aws-waf-logs-testLogGroup2.
Format ARN yang dihasilkan adalah sebagai berikut:
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
Aliran log memiliki format penamaan berikut:
Region_web-acl-name_log-stream-number
Berikut ini menunjukkan contoh aliran log untuk paket perlindungan (web ACL) TestWebACL di Wilayahus-east-1.
us-east-1_TestWebACL_0
Izin yang diperlukan untuk mempublikasikan log ke CloudWatch Log
Mengkonfigurasi log lalu lintas paket perlindungan (ACL web) untuk grup CloudWatch log Log memerlukan pengaturan izin yang dijelaskan di bagian ini. Izin ditetapkan untuk Anda saat Anda menggunakan salah satu kebijakan terkelola akses AWS WAF penuh, AWSWAFConsoleFullAccess atauAWSWAFFullAccess. Jika Anda ingin mengelola akses berbutir halus ke pencatatan dan AWS WAF sumber daya, Anda dapat mengatur sendiri izin tersebut. Untuk informasi tentang mengelola izin, lihat Manajemen akses untuk AWS sumber daya di Panduan Pengguna IAM. Untuk informasi tentang kebijakan AWS WAF
terkelola, lihatAWS kebijakan terkelola untuk AWS WAF.
Izin ini memungkinkan Anda mengubah konfigurasi logging protection pack (web ACL), mengonfigurasi pengiriman CloudWatch log untuk Log, dan untuk mengambil informasi tentang grup log Anda. Izin ini harus dilampirkan ke pengguna yang Anda gunakan untuk mengelola AWS WAF.
Ketika tindakan diizinkan pada semua AWS sumber daya, itu ditunjukkan dalam kebijakan dengan "Resource" pengaturan"*". Ini berarti bahwa tindakan diizinkan pada semua AWS sumber daya yang didukung oleh setiap tindakan. Misalnya, tindakan hanya wafv2:PutLoggingConfiguration didukung untuk wafv2 mencatat sumber daya konfigurasi.
