Amazon CloudWatch Logs ロググループへの保護パック (ウェブ ACL) トラフィックログの送信 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
CloudWatch Logs のロググループに関する配分ロググループの命名 ログ記録のアクセス許可

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

Amazon CloudWatch Logs ロググループへの保護パック (ウェブ ACL) トラフィックログの送信

このトピックは、保護パック (ウェブ ACL) トラフィックログの CloudWatch Logs ロググループへの送信に関する情報を提供します。

注記

AWS WAF の使用料金に加えて、ログ記録の料金が請求されます。詳細については、「保護パック (ウェブ ACL) トラフィックのログ記録の料金に関する情報」を参照してください。

Amazon CloudWatch Logs にログを送信するには、CloudWatch Logs ロググループを作成します。AWS WAF へのログインを有効にするときは、ロググループ ARN を指定します。保護パック (ウェブ ACL) のログ記録を有効にした後、AWS WAF は、ログストリームの CloudWatch Logs ロググループにログを配信します。

CloudWatch Logs を使用すると、AWS WAF コンソールで保護パック (ウェブ ACL) のログを調べることができます。保護パック (ウェブ ACL) ページで、[Logging insights] (ログ記録のインサイト) タブを選択します。このオプションは、CloudWatch コンソールで CloudWatch Logs に提供されるログ記録インサイトに追加されるものです。

保護パック (ウェブ ACL) と同じリージョンで、保護パック (ウェブ ACL) の管理に使用するのと同じアカウントを使用して、AWS WAF 保護パック (ウェブ ACL) ログのロググループを設定します。CloudWatch Logs ロググループの設定については、「ロググループとログストリームの操作」を参照してください。

CloudWatch Logs のロググループに関する配分

CloudWatch Logs には、スループットのデフォルトの最大クォータがあり、リージョン内のすべてのロググループで共有されます。これに対して、増加をリクエストできます。ログ記録の要件が既存のスループット設定に対して高すぎる場合は、アカウントの PutLogEvents のスロットリングメトリクスが表示されます。Service Quotas コンソールで制限を表示して引き上げをリクエストするには、「CloudWatch Logs PutLogEvents quota」を参照してください。

ロググループの命名

ロググループ名は aws-waf-logs- で始まる必要があり、末尾を任意のサフィックスにすることができます (例: aws-waf-logs-testLogGroup2)。

結果として生じる ARN 形式は次のとおりです。

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

ログストリームの命名形式は次のとおりです。

Region_web-acl-name_log-stream-number

リージョン us-east-1 の保護パック (ウェブ ACL) TestWebACL のログストリームの例を次に示します。

us-east-1_TestWebACL_0

CloudWatch Logs にログを発行するために必須のアクセス許可

CloudWatch Logs ロググループの保護パック (ウェブ ACL) トラフィックログ記録を設定するには、このセクションで説明する許可設定が必要です。AWS WAF フルアクセスマネージドポリシーのいずれか (AWSWAFConsoleFullAccess または AWSWAFFullAccess) を使用すると、許可が設定されます。ログ記録と AWS WAF リソースへのよりきめ細かいアクセスを管理したい場合は、自分で許可を設定できます。許可の管理については、「IAM ユーザーガイド」の「AWS リソースの アクセス管理」を参照してください。AWS WAF マネージドポリシーの詳細については、「AWS の マネージドポリシーAWS WAF」を参照してください。

これらの許可を使用すると、保護パック (ウェブ ACL) ログ記録設定の変更、CloudWatch Logs のログ配信の設定、およびロググループに関する情報の取得が可能となります。これらの許可は、AWS WAF の管理に使用するユーザーにアタッチされる必要があります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

すべての AWS リソースでアクションが許可されている場合、その旨はポリシーの "*""Resource" 設定で示されます。これは、各アクションがサポートするすべての AWS リソースでアクションが許可されることを意味します。例えば、アクション wafv2:PutLoggingConfiguration は、wafv2 のログ記録設定リソースでのみサポートされます。