Amazon CloudWatch Logs 로그 그룹에 보호 팩(웹 ACL) 트래픽 로그 전송 - AWS WAF, AWS Firewall ManagerAWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터
CloudWatch Logs 로그 그룹에 대한 할당량로그 그룹 이름 지정 로깅에 대한 권한

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon CloudWatch Logs 로그 그룹에 보호 팩(웹 ACL) 트래픽 로그 전송

이 주제에서는 CloudWatch Logs 로그 그룹으로 보호 팩(웹 ACL) 트래픽 로그를 전송하는 방법에 대한 정보를 제공합니다.

참고

AWS WAF사용 요금 외에 로그인 요금이 부과됩니다. 자세한 내용은 보호 팩(웹 ACL) 트래픽 정보 로깅 요금 단원을 참조하세요.

Amazon CloudWatch Logs로 로그를 전송하려면 CloudWatch Logs 로그 그룹을 생성합니다. 로그인을 활성화하면 로그 그룹 ARN을 AWS WAF제공합니다. 보호 팩(웹 ACL)에 대한 로깅을 활성화하면가 로그 스트림의 CloudWatch Logs 로그 그룹에 로그를 AWS WAF 전송합니다.

CloudWatch Logs를 사용하면 콘솔에서 보호 팩(웹 ACL)에 대한 로그를 AWS WAF 탐색할 수 있습니다. 보호 팩(웹 ACL) 페이지에서 로깅 인사이트 탭을 선택합니다. 이 옵션은 CloudWatch 콘솔을 통해 CloudWatch Logs에 대해 제공되는 로깅 인사이트에 추가됩니다.

AWS WAF 보호 팩(웹 ACL)과 동일한 리전에서 보호 팩(웹 ACL)을 관리하는 데 사용하는 것과 동일한 계정을 사용하여 보호 팩(웹 ACL) 로그에 대한 로그 그룹을 구성합니다. CloudWatch Logs 로그 그룹의 구성에 대한 자세한 내용은 로그 그룹 및 로그 스트림 작업을 참조하세요.

CloudWatch Logs 로그 그룹에 대한 할당량

CloudWatch Logs에는 하나의 리전 내의 모든 로그 그룹 간에 공유되는 처리량에 대한 기본 최대 할당량이 있으며, 이를 늘리도록 요청할 수 있습니다. 로깅 요구 사항이 현재 처리량 설정에 비해 너무 높으면 계정에 대한 PutLogEvents의 스로틀링 지표가 표시됩니다. Service Quotas 콘솔에서 제한을 보고 증가를 요청하려면 CloudWatch Logs PutLogEvents 할당량을 참조하세요.

로그 그룹 이름 지정

로그 그룹 이름은 aws-waf-logs-로 시작해야 하며 예를 들어 aws-waf-logs-testLogGroup2 등 끝에는 원하는 접미사를 붙일 수 있습니다.

결과 ARN 형식은 다음과 같습니다.

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

로그 스트림의 이름 지정 형식은 다음과 같습니다.

Region_web-acl-name_log-stream-number

다음은 리전 TestWebACL의 보호 팩(웹 ACL)에 대한 로그 스트림의 예입니다us-east-1.

us-east-1_TestWebACL_0

로그를 CloudWatch Logs에 게시하는 데 필요한 권한

CloudWatch Logs 로그 그룹에 대한 보호 팩(웹 ACL) 트래픽 로깅을 구성하려면이 섹션에 설명된 권한 설정이 필요합니다. 권한은 AWS WAF 전체 액세스 관리형 정책 또는 중 하나를 사용할 때 설정됩니다AWSWAFConsoleFullAccessAWSWAFFullAccess. 로깅 및 AWS WAF 리소스에 대한 보다 세분화된 액세스를 관리하려면 권한을 직접 설정할 수 있습니다. 권한 관리에 대한 자세한 내용은 IAM 사용 설명서AWS 리소스에 대한 액세스 관리를 참조하세요. AWS WAF 관리형 정책에 대한 자세한 내용은 AWS 에 대한 관리형 정책 AWS WAF을 참조하세요.

이러한 권한을 통해 보호 팩(웹 ACL) 로깅 구성을 변경하고, CloudWatch Logs에 대한 로그 전송을 구성하고, 로그 그룹에 대한 정보를 검색할 수 있습니다. 이러한 권한은 AWS WAF를 관리하는 데 사용하는 사용자에게 연결되어야 합니다.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

모든 AWS 리소스에서 작업이 허용되면 정책에 "Resource" 설정이 로 표시됩니다"*". 즉, 각 작업이 지원하는 모든 AWS 리소스에서 작업이 허용됩니다. 예를 들어 wafv2:PutLoggingConfiguration 작업은 wafv2 로깅 구성 리소스에서만 지원됩니다.