Invio di log del traffico Web ACL o del pacchetto di protezione a un gruppo di log di Amazon CloudWatch Logs - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Quote per i gruppi di log Logs CloudWatch Denominazione dei gruppi di log Autorizzazioni per la registrazione

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Invio di log del traffico Web ACL o del pacchetto di protezione a un gruppo di log di Amazon CloudWatch Logs

Questo argomento fornisce informazioni per inviare il pacchetto di protezione o i log di traffico Web ACL a un gruppo di log Logs. CloudWatch

Nota

Oltre ai costi di utilizzo, ti vengono addebitati i costi per la registrazione. AWS WAF Per informazioni, consultare Prezzi per la registrazione del pacchetto di protezione o delle informazioni sul traffico ACL Web.

Per inviare i log ad Amazon CloudWatch Logs, devi creare un gruppo di CloudWatch log Logs. Quando si abilita l'accesso AWS WAF, si fornisce l'ARN del gruppo di log. Dopo aver abilitato la registrazione per il pacchetto di protezione o l'ACL Web, AWS WAF invia i log al gruppo di log Logs nei flussi di CloudWatch log.

Quando usi CloudWatch Logs, puoi esplorare i log del tuo protection pack o Web ACL nella console. AWS WAF Nel pacchetto di protezione o nella pagina Web ACL, seleziona la scheda Logging insights. Questa opzione si aggiunge alle informazioni sulla registrazione fornite per i CloudWatch registri tramite la console. CloudWatch

Configura il gruppo di log per i log del AWS WAF protection pack o dei registri Web ACL nella stessa regione del protection pack o dell'ACL web e utilizza lo stesso account utilizzato per gestire il protection pack o l'ACL web. Per informazioni sulla configurazione di un gruppo di log CloudWatch Logs, consulta Working with Log Groups and Log Streams.

Quote per i gruppi di log Logs CloudWatch

CloudWatch Logs ha una quota massima predefinita per la velocità effettiva, condivisa tra tutti i gruppi di log all'interno di una regione, che è possibile richiedere di aumentare. Se i tuoi requisiti di registrazione sono troppo elevati per l'attuale impostazione del throughput, vedrai le metriche di limitazione relative al tuo account. PutLogEvents Per visualizzare il limite nella console Service Quotas e richiedere un aumento, consulta la quota CloudWatch PutLogEvents Logs.

Denominazione dei gruppi di log

I nomi dei gruppi di log devono iniziare con aws-waf-logs- e possono terminare con qualsiasi suffisso desiderato, ad esempio. aws-waf-logs-testLogGroup2

Il formato ARN risultante è il seguente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

I flussi di log hanno il seguente formato di denominazione: 

Region_web-acl-name_log-stream-number

Di seguito viene mostrato un esempio di flusso di log per Protection Pack o Web ACL TestWebACL in Region. us-east-1 

us-east-1_TestWebACL_0

Autorizzazioni necessarie per pubblicare i log in Logs CloudWatch

La configurazione del protection pack o della registrazione del traffico Web ACL per un gruppo di log CloudWatch Logs richiede le impostazioni delle autorizzazioni descritte in questa sezione. Le autorizzazioni vengono impostate automaticamente quando si utilizza una delle politiche di accesso gestito AWS WAF completo, oppure. AWSWAFConsoleFullAccess AWSWAFFullAccess Se desideri gestire un accesso più dettagliato alla registrazione e alle AWS WAF risorse, puoi impostare tu stesso le autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli accessi alle AWS risorse nella Guida per l'utente IAM. Per informazioni sulle politiche AWS WAF gestite, consultaAWS politiche gestite per AWS WAF.

Queste autorizzazioni consentono di modificare il Protection Pack o la configurazione della registrazione Web ACL, di configurare la consegna dei log per CloudWatch Logs e di recuperare informazioni sul gruppo di log. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione. AWS WAF

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Quando sono consentite azioni su tutte AWS le risorse, ciò è indicato nella politica con un'"Resource"impostazione di"*". Ciò significa che le azioni sono consentite su tutte le AWS risorse supportate da ciascuna azione. Ad esempio, l'azione wafv2:PutLoggingConfiguration è supportata solo per la wafv2 registrazione delle risorse di configurazione.