**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Firewall Manager 中为 AWS WAF 策略启用日志记录
<a name="waf-policies-enabling-logging"></a>

以下过程介绍如何在 Firewall Manager 控制台中为 AWS WAF 策略启用日志记录。

**为 AWS WAF 策略启用日志记录**

1. 在启用日志记录之前，必须按以下方式配置日志记录目标资源：
   + **Amazon Kinesis Data Streams**：使用 Firewall Manager 管理员账户创建 Amazon Data Firehose。使用以前缀 `aws-waf-logs-` 开头的名称。例如 `aws-waf-logs-firewall-manager-central`。使用 `PUT` 源，在您执行操作的区域中创建 Data Firehose。如果您要为 Amazon 捕获日志 CloudFront，请在美国东部（弗吉尼亚北部）创建消防水带。在使用之前，请测试您的传输流，确保其吞吐量足以容纳组织的日志。有关更多信息，请参阅[创建 Amazon Data Firehose 传输流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。
   + **Amazon 简单存储服务存储桶**：根据*AWS WAF 开发人员指南*中[Amazon 简单存储服务](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)主题中的指南创建 Amazon S3 存储桶。您还必须使用 [向 Amazon S3 存储桶发布日志的权限](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions) 中列出的权限配置 Amazon S3 存储桶。

1.  AWS 管理控制台 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息，请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。
**注意**  
有关设置 Firewall Manager 管理员账户的信息，请参阅 [AWS Firewall Manager 先决条件](fms-prereq.md)。

1. 在导航窗格中，选择**安全策略**。

1. 选择要为其启用日志记录的 AWS WAF 策略。有关 AWS WAF 日志记录的更多信息，请参阅 [记录 AWS WAF 保护包 (Web ACL) 流量](logging.md)。

1. 在**策略详细信息**选项卡的**策略规则**部分，选择**编辑**。

1. 对于**日志记录配置**，选择**启用日志记录**以打开日志记录。日志记录提供了有关 web ACL 对流量进行分析的详细信息。选择**日志记录目标**，然后选择您配置的日志记录目标。必须选择名称以 `aws-waf-logs-` 开头的日志记录目标。有关配置 AWS WAF 日志目标的信息，请参阅[在 Firewall Manager 中使用 AWS WAF 策略](waf-policies.md)。

1. （可选）如果您不希望在日志中包含特定字段及其值，请编辑这些字段。选择要编辑的字段，然后选择**添加**。根据需要重复操作来编辑其他字段。编辑后的字段在日志中显示为 `REDACTED`。例如，如果您编辑 **URI** 字段，则日志中的 **URI** 字段将为 `REDACTED`。

1. （可选）如果您不想向日志发送所有请求，请添加您的筛选条件和行为。在**筛选日志**下，对于要应用的每个筛选器，选择**添加筛选条件**，然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选条件后，如果需要，可以修改**默认日志记录行为**。有关更多信息，请参阅《AWS WAF 开发人员指南》**中的 [查找保护包（web ACL）记录](logging-management.md)。

1. 选择**下一步**。

1. 查看您的设置，然后选择**保存**以保存对策略的更改。