Enviar logs de tráfego do pacote de proteção (ACL da Web) para um grupo de logs do Amazon CloudWatch Logs - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Cotas para grupos de logs do CloudWatch LogsNomenclatura de grupos de logs Permissões de log do

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Enviar logs de tráfego do pacote de proteção (ACL da Web) para um grupo de logs do Amazon CloudWatch Logs

Este tópico fornece informações para enviar seus logs de tráfego do pacote de proteção (ACL da Web) para um grupo de logs do CloudWatch Logs.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web).

Para enviar logs para o Amazon CloudWatch Logs, você cria um grupo de logs do CloudWatch Logs. Ao ativar o login no AWS WAF, você fornece o ARN do grupo de logs. Depois que você habilita o registro em log para o pacote de proteção (ACL da Web), o AWS WAF entrega os logs ao grupo de logs do CloudWatch Logs em fluxos de logs.

Ao usar o CloudWatch Logs, você pode explorar os logs do pacote de proteção (ACL da Web) no console do AWS WAF. Na página do pacote de proteção (ACL da Web), selecione a guia Insights sobre registro em log. Essa opção é um acréscimo aos insights de logs fornecidos para o CloudWatch Logs por meio do console do CloudWatch.

Configure o grupo de logs para os logs do pacote de proteção (ACL da Web) do AWS WAF na mesma região do pacote de proteção (ACL da Web) e usando a mesma conta que você usa para gerenciar o pacote de proteção (ACL da Web). Para obter mais informações sobre grupos de logs do CloudWatch Logs, consulte Como trabalhar com grupos de logs e fluxos de log.

Cotas para grupos de logs do CloudWatch Logs

O CloudWatch Logs tem uma cota máxima padrão para throughput, compartilhada entre todos os grupos de logs em uma região, que você pode solicitar para aumentar. Se seus requisitos do registro de logs forem muito altos para as configurações atuais de throughput, você verá métricas de controle de utilização para PutLogEvents para sua conta. Para ver o limite no console Service Quotas e solicitar um aumento, consulte a cota PutLogEvents do CloudWatch Logs.

Nomenclatura de grupos de logs

Os nomes dos grupos de logs devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser, por exemplo, aws-waf-logs-testLogGroup2.

O formato resultante do ARN é o seguinte: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Os fluxos de log têm o seguinte formato de nomenclatura: 

Region_web-acl-name_log-stream-number

O exemplo a seguir mostra um exemplo de fluxo de logs para o pacote de proteção (ACL da Web) TestWebACL na região us-east-1. 

us-east-1_TestWebACL_0

Permissões necessárias para publicar logs no CloudWatch Logs

A configuração do registro em log do tráfego do pacote de proteção (ACL da Web) para um grupo de logs do CloudWatch Logs requer as configurações de permissões descritas nesta seção. As permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso total do AWS WAF, AWSWAFConsoleFullAccess ou AWSWAFFullAccess. Se você quiser gerenciar um acesso mais refinado aos seus logs e aos seus recursos do AWS WAF, você mesmo pode definir as permissões. Para obter mais informações sobre gerenciamento de permissões, consulte Gerenciamento de acesso para recursos da AWS no Guia do usuário do IAM. Para obter informações sobre as políticas gerenciadas do AWS WAF, consulte AWS Políticas gerenciadas pela do AWS WAF.

Essas permissões deixam que você altere a configuração do registro em log do pacote de proteção (ACL da Web), configure a entrega dos logs para o CloudWatch Logs e recupere informações sobre seu grupo de logs. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

Quando as ações são permitidas em todos os recursos da AWS, é indicado na política com uma configuração "Resource" de "*". Isso significa que as ações são permitidas em todos os recursos da AWS que cada ação suporta. Por exemplo, a ação wafv2:PutLoggingConfiguration é suportada somente para wafv2 registrar recursos de configuração.