の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon CloudWatch Logs ロググループへの保護パックまたはウェブ ACL トラフィックログの送信
このトピックでは、保護パックまたはウェブ ACL トラフィックログを CloudWatch Logs ロググループに送信するための情報を提供します。
注記
AWS WAFの使用料金に加えて、ログ記録の料金が請求されます。詳細については、「保護パックまたはウェブ ACL トラフィック情報のログ記録の料金」を参照してください。
Amazon CloudWatch Logs にログを送信するには、CloudWatch Logs ロググループを作成します。ログインを有効にするときは AWS WAF、ロググループ ARN を指定します。保護パックまたはウェブ ACL のログ記録を有効にすると、 はログストリームの CloudWatch Logs ロググループにログを AWS WAF 配信します。
CloudWatch Logs を使用すると、コンソールで AWS WAF 保護パックまたはウェブ ACL のログを調べることができます。保護パックまたはウェブ ACL ページで、インサイトのログ記録タブを選択します。このオプションは、CloudWatch コンソールで CloudWatch Logs に提供されるログ記録インサイトに追加されるものです。
AWS WAF 保護パックまたはウェブ ACL と同じリージョンで、保護パックまたはウェブ ACL の管理に使用するのと同じアカウントを使用して、保護パックまたはウェブ ACL ログのロググループを設定します。CloudWatch Logs ロググループの設定については、「ロググループとログストリームの操作」を参照してください。
CloudWatch Logs のロググループに関する配分
CloudWatch Logs には、スループットのデフォルトの最大クォータがあり、リージョン内のすべてのロググループで共有されます。これに対して、増加をリクエストできます。ログ記録の要件が既存のスループット設定に対して高すぎる場合は、アカウントの PutLogEvents
のスロットリングメトリクスが表示されます。Service Quotas コンソールで制限を表示して引き上げをリクエストするには、「CloudWatch Logs PutLogEvents quota
ロググループの命名
ロググループ名は aws-waf-logs-
で始まる必要があり、末尾を任意のサフィックスにすることができます (例: aws-waf-logs-testLogGroup2
)。
結果として生じる ARN 形式は次のとおりです。
arn:aws:logs:
Region
:account-id
:log-group:aws-waf-logs-log-group-suffix
ログストリームの命名形式は次のとおりです。
Region
_web-acl-name
_log-stream-number
リージョン の Protection Pack またはウェブ ACL のログストリームの例TestWebACL
を次に示しますus-east-1
。
us-east-1_TestWebACL_0
CloudWatch Logs にログを発行するために必須のアクセス許可
CloudWatch Logs ロググループの保護パックまたはウェブ ACL トラフィックログ記録を設定するには、このセクションで説明するアクセス許可設定が必要です。アクセス許可は、 AWS WAF フルアクセス管理ポリシーの 1 つ、AWSWAFConsoleFullAccess
または を使用する場合に設定されますAWSWAFFullAccess
。ログ記録と AWS WAF リソースへのよりきめ細かなアクセスを管理する場合は、アクセス許可を自分で設定できます。アクセス許可の管理の詳細については、IAM ユーザーガイドのAWS 「リソースのアクセス管理」を参照してください。 AWS WAF
マネージドポリシーの詳細については、「AWS の 管理ポリシー AWS WAF」を参照してください。
これらのアクセス許可により、保護パックまたはウェブ ACL ログ記録設定を変更したり、CloudWatch Logs のログ配信を設定したり、ロググループに関する情報を取得したりできます。これらの許可は、 AWS WAFの管理に使用するユーザーにアタッチされる必要があります。
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
すべての AWS リソースでアクションが許可されている場合、ポリシーに "Resource"
の設定で示されます"*"
。つまり、各アクションがサポートするすべての AWS リソースでアクションが許可されます。 例えば、アクション wafv2:PutLoggingConfiguration
は、wafv2
のログ記録設定リソースでのみサポートされます。