Enviar logs de tráfego do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Diretrizes de configuraçãoPermissões de log do

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Enviar logs de tráfego do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose

Esta seção fornece informações para enviar os logs de tráfego do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web).

Para enviar logs para o Amazon Data Firehose, você envia os logs do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose configurado no Firehose. Depois de habilitar o registro de logs, o AWS WAF entrega logs para o destino de armazenamento por meio do endpoint HTTPS do Firehose.

Um log do AWS WAF é equivalente a um registro do Firehose. Se você normalmente receber 10 000 solicitações por segundo e habilitar logs completos, deverá ter uma configuração de 10 000 registros por segundo no Firehose. Se você não configurar o Firehose corretamente, o AWS WAF não registrará todos os logs. Para obter mais informações, consulte Cotas do Amazon Kinesis Data Firehose.

Para obter informações sobre como criar um fluxo de entrega do Amazon Data Firehose e revisar seus logs armazenados, consulte O que é o Amazon Data Firehose?

Para obter mais informações sobre criar seu fluxo de entrega, consulte Criar um fluxo de entrega do Amazon Data Firehose.

Configurar um fluxo de entrega do Amazon Data Firehose para o pacote de proteção (ACL da Web)

Configure um fluxo de entrega do Amazon Data Firehose para o pacote de proteção (ACL da Web) da seguinte maneira.

  • Crie-o usando a mesma conta que você usa para gerenciar o pacote de proteção (ACL da Web).

  • Crie-o na mesma região do pacote de proteção (ACL da Web). Se você estiver capturando logs para o Amazon CloudFront, crie o firehose na região Leste dos EUA (Norte da Virgínia), us-east-1.

  • Dê ao data firehose um nome que comece com o prefixo aws-waf-logs-. Por exemplo, aws-waf-logs-us-east-2-analytics.

  • Configure-o para colocação direta, o que permite que os aplicativos acessem diretamente o fluxo de entrega. No console do Amazon Data Firehose, para a configuração Fonte do fluxo de entrega, escolha Direct PUT ou outras fontes. Por meio da API, defina a propriedade do fluxo de entrega DeliveryStreamType como DirectPut.

    nota

    Não use um Kinesis stream como fonte.

Permissões necessárias para publicar logs no fluxo de entrega do Amazon Data Firehose

Para entender as permissões necessárias para a configuração do Kinesis Data Firehose, consulte Controlar o acesso com o Amazon Kinesis Data Firehose.

Você deve ter as seguintes permissões para habilitar com sucesso o registro em log do pacote de proteção (ACL da Web) com um fluxo de entrega do Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do iam:CreateServiceLinkedRole, consulte Usar perfis vinculados a serviço do AWS WAF.