推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將保護套件或 Web ACL 流量日誌傳送至 Amazon Data Firehose 交付串流
本節提供將保護套件或 Web ACL 流量日誌傳送至 Amazon Data Firehose 交付串流的資訊。
注意
除了使用 的費用之外,您還需要支付記錄費用 AWS WAF。如需相關資訊,請參閱記錄保護套件或 Web ACL 流量資訊的定價。
若要將日誌傳送至 Amazon Data Firehose,請將日誌從保護套件或 Web ACL 傳送至您在 Firehose 中設定的 Amazon Data Firehose 交付串流。啟用記錄後, 會透過 Firehose 的 HTTPS 端點將日誌 AWS WAF 傳送至您的儲存目的地。
一個 AWS WAF 日誌等同於一個 Firehose 記錄。如果您通常每秒收到 10,000 個請求並啟用完整日誌,您應該在 Firehose 中每秒設定 10,000 個記錄。如果您未正確設定 Firehose, AWS WAF 則不會記錄所有日誌。如需詳細資訊,請參閱 Amazon Kinesis Data Firehose 配額。
如需有關如何建立 Amazon Data Firehose 交付串流和檢閱儲存日誌的資訊,請參閱什麼是 Amazon Data Firehose?
如需建立交付串流的相關資訊,請參閱建立 Amazon Data Firehose 交付串流。
為您的保護套件或 Web ACL 設定 Amazon Data Firehose 交付串流
為您的保護套件或 Web ACL 設定 Amazon Data Firehose 交付串流,如下所示。
-
使用您用來管理保護套件或 Web ACL 的相同帳戶來建立它。
-
在與保護套件或 Web ACL 相同的區域中建立它。如果您要擷取 Amazon CloudFront 的日誌,請在美國東部 (維吉尼亞北部) 區域 建立 firehose
us-east-1。 -
為資料提供開頭為字首 的名稱
aws-waf-logs-。例如aws-waf-logs-us-east-2-analytics。 -
將其設定為直接放置,允許應用程式直接存取交付串流。在 Amazon Data Firehose 主控台
中,針對交付串流來源設定,選擇直接 PUT 或其他來源。透過 API,將交付串流屬性 DeliveryStreamType設定為DirectPut。注意
請勿使用
Kinesis stream做為來源。
將日誌發佈至 Amazon Data Firehose 交付串流所需的許可
若要了解 Kinesis Data Firehose 組態所需的許可,請參閱使用 Amazon Kinesis Data Firehose 控制存取。
您必須具有下列許可,才能使用 Amazon Data Firehose 交付串流成功啟用保護套件或 Web ACL 記錄。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
如需服務連結角色和 iam:CreateServiceLinkedRole 許可的相關資訊,請參閱 使用 的服務連結角色 AWS WAF。
