Mengirim paket perlindungan atau log lalu lintas ACL web ke aliran pengiriman Amazon Data Firehose - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Pedoman konfigurasiIzin untuk pencatatan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengirim paket perlindungan atau log lalu lintas ACL web ke aliran pengiriman Amazon Data Firehose

Bagian ini memberikan informasi untuk mengirim paket perlindungan atau log lalu lintas ACL web Anda ke aliran pengiriman Amazon Data Firehose.

catatan

Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat Harga untuk paket perlindungan pencatatan atau informasi lalu lintas ACL web.

Untuk mengirim log ke Amazon Data Firehose, Anda mengirim log dari paket perlindungan atau ACL web ke aliran pengiriman Amazon Data Firehose yang Anda konfigurasikan di Firehose. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log ke tujuan penyimpanan Anda melalui titik akhir HTTPS Firehose.

Satu AWS WAF log setara dengan satu catatan Firehose. Jika Anda biasanya menerima 10.000 permintaan per detik dan mengaktifkan log penuh, Anda harus memiliki pengaturan 10.000 catatan per detik di Firehose. Jika Anda tidak mengonfigurasi Firehose dengan benar, tidak AWS WAF akan merekam semua log. Untuk informasi selengkapnya, lihat kuota Amazon Kinesis Data Firehose.

Untuk informasi tentang cara membuat aliran pengiriman Amazon Data Firehose dan meninjau log yang disimpan, lihat Apa itu Amazon Data Firehose?

Untuk informasi tentang membuat aliran pengiriman, lihat Membuat aliran pengiriman Amazon Data Firehose.

Mengonfigurasi aliran pengiriman Amazon Data Firehose untuk paket perlindungan atau ACL web

Konfigurasikan aliran pengiriman Amazon Data Firehose untuk paket perlindungan atau ACL web Anda sebagai berikut.

  • Buat menggunakan akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan atau ACL web.

  • Buat di Wilayah yang sama dengan paket perlindungan atau ACL web. Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di Wilayah AS Timur (Virginia N.),. us-east-1

  • Berikan firehose data nama yang dimulai dengan awalanaws-waf-logs-. Misalnya, aws-waf-logs-us-east-2-analytics.

  • Konfigurasikan untuk direct put, yang memungkinkan aplikasi mengakses aliran pengiriman secara langsung. Di konsol Amazon Data Firehose, untuk setelan Sumber aliran pengiriman, pilih Direct PUT atau sumber lainnya. Melalui API, atur properti aliran pengiriman DeliveryStreamType keDirectPut.

    catatan

    Jangan gunakan Kinesis stream sebagai sumber Anda.

Izin yang diperlukan untuk memublikasikan log ke aliran pengiriman Amazon Data Firehose

Untuk memahami izin yang diperlukan untuk konfigurasi Firehose Data Kinesis, lihat Mengontrol Akses dengan Amazon Kinesis Data Firehose.

Anda harus memiliki izin berikut agar berhasil mengaktifkan paket perlindungan atau pencatatan ACL web dengan aliran pengiriman Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Untuk informasi tentang peran terkait layanan dan iam:CreateServiceLinkedRole izin, lihat. Menggunakan peran terkait layanan untuk AWS WAF