Envio de registros de tráfego do pacote de proteção ou da Web ACL para um grupo de CloudWatch registros do Amazon Logs - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Envio de registros de tráfego do pacote de proteção ou da Web ACL para um grupo de CloudWatch registros do Amazon Logs

Este tópico fornece informações para enviar seu pacote de proteção ou registros de tráfego da Web ACL para um grupo de CloudWatch registros de registros.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar informações de tráfego do pacote de proteção ou da Web ACL.

Para enviar registros para o Amazon CloudWatch Logs, você cria um grupo de CloudWatch registros de registros. Ao ativar o login AWS WAF, você fornece o ARN do grupo de registros. Depois de habilitar o registro para seu pacote de proteção ou ACL da web, AWS WAF entrega os registros para o grupo de CloudWatch registros de registros em fluxos de registros.

Ao usar o CloudWatch Logs, você pode explorar os registros do seu pacote de proteção ou da Web ACL no AWS WAF console. Em seu pacote de proteção ou página de ACL da web, selecione a guia Logging insights. Essa opção é um acréscimo aos insights de registro fornecidos para o CloudWatch Logs por meio do CloudWatch console.

Configure o grupo de registros para logs do pacote de AWS WAF proteção ou da Web ACL na mesma região do pacote de proteção ou da ACL da Web e usando a mesma conta que você usa para gerenciar o pacote de proteção ou a ACL da web. Para obter informações sobre como configurar um grupo de CloudWatch registros, consulte Como trabalhar com grupos de registros e fluxos de registros.

Cotas para grupos de CloudWatch registros de registros

CloudWatch O Logs tem uma cota máxima padrão de taxa de transferência, compartilhada entre todos os grupos de registros em uma região, que você pode solicitar para aumentar. Se seus requisitos do registro de logs forem muito altos para as configurações atuais de throughput, você verá métricas de controle de utilização para PutLogEvents para sua conta. Para ver o limite no console Service Quotas e solicitar um aumento, consulte a cota de CloudWatch registros PutLogEvents .

Nomenclatura de grupos de logs

Os nomes dos grupos de logs devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser, por exemplo, aws-waf-logs-testLogGroup2.

O formato resultante do ARN é o seguinte:

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Os fluxos de log têm o seguinte formato de nomenclatura:

Region_web-acl-name_log-stream-number

O exemplo a seguir mostra um exemplo de fluxo de log para pacote de proteção ou ACL da web TestWebACL na regiãous-east-1.

us-east-1_TestWebACL_0

Permissões necessárias para publicar registros no CloudWatch Logs

Configurar o pacote de proteção ou o registro de tráfego da Web ACL para um grupo de CloudWatch registros de registros requer as configurações de permissões descritas nesta seção. As permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso AWS WAF total, AWSWAFConsoleFullAccess ouAWSWAFFullAccess. Se você quiser gerenciar um acesso mais refinado ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir as permissões. Para obter informações sobre o gerenciamento de permissões, consulte Gerenciamento de acesso para AWS recursos no Guia do usuário do IAM. Para obter informações sobre as políticas gerenciadas do AWS WAF , consulte AWS políticas gerenciadas para AWS WAF.

Essas permissões permitem que você altere a configuração de registro do pacote de proteção ou da Web ACL, configure a entrega de CloudWatch registros para registros e recupere informações sobre seu grupo de registros. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF.

JSON
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "LoggingConfigurationAPI" }, { "Sid": "WebACLLoggingCWL", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }

Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma "Resource" configuração de"*". Isso significa que as ações são permitidas em todos os AWS recursos que cada ação suporta. Por exemplo, a ação wafv2:PutLoggingConfiguration é suportada somente para wafv2 registrar recursos de configuração.