Amazon CloudWatch Logs-Protokollgruppe - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Kontingente für CloudWatch Log-Log-GruppenBenennung von Protokollgruppen Berechtigungen für die -Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon CloudWatch Logs-Protokollgruppe

Dieses Thema enthält Informationen zum Senden Ihrer Web-ACL-Traffic-Logs an eine CloudWatch Logs-Protokollgruppe.

Anmerkung

Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter Preise für die Protokollierung von Web-ACL-Datenverkehrsinformationen.

Um Protokolle an Amazon CloudWatch Logs zu senden, erstellen Sie eine CloudWatch Logs-Protokollgruppe. Wenn Sie die Anmeldung aktivieren AWS WAF, geben Sie den ARN der Protokollgruppe an. Nachdem Sie die Protokollierung für Ihre Web-ACL aktiviert haben, AWS WAF werden die CloudWatch Protokolle in Protokolldatenströmen an die Protokollgruppe Logs übermittelt.

Wenn Sie CloudWatch Logs verwenden, können Sie sich die Logs für Ihre Web-ACL in der AWS WAF Konsole ansehen. Wählen Sie auf Ihrer Web-ACL-Seite die Registerkarte Logging insights (Protokollierungseinblicke) aus. Diese Option ist eine Ergänzung zu den Protokollierungsergebnissen, die für CloudWatch Logs über die CloudWatch Konsole bereitgestellt werden.

Konfigurieren Sie die Protokollgruppe für AWS WAF Web-ACL-Protokolle in derselben Region wie die Web-ACL und verwenden Sie dasselbe Konto, das Sie für die Verwaltung der Web-ACL verwenden. Informationen zur Konfiguration einer CloudWatch Logs-Log-Gruppe finden Sie unter Arbeiten mit Log-Gruppen und Log-Streams.

Kontingente für CloudWatch Log-Log-Gruppen

CloudWatch Logs hat standardmäßig ein maximales Kontingent für den Durchsatz, das auf alle Protokollgruppen innerhalb einer Region aufgeteilt wird und dessen Erhöhung Sie beantragen können. Wenn Ihre Protokollierungsanforderungen für die aktuelle Durchsatzeinstellung zu hoch sind, werden Ihnen Drosselungskennzahlen PutLogEvents für Ihr Konto angezeigt. Informationen zum Limit in der Konsole für Service Quotas und zur Beantragung einer Erhöhung finden Sie unter CloudWatch PutLogEvents Protokollkontingent.

Benennung von Protokollgruppen

Die Namen Ihrer Protokollgruppen müssen mit aws-waf-logs- beginnen und können mit einem beliebigen Suffix enden, z. B. aws-waf-logs-testLogGroup2.

Das resultierende ARN-Format lautet folgendermaßen: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Die Protokollstreams haben das folgende Benennungsformat: 

Region_web-acl-name_log-stream-number

Im Folgenden wird ein Beispiel für einen Protokollstream für die Web-ACL TestWebACL in der Region us-east-1 gezeigt. 

us-east-1_TestWebACL_0

Zum Veröffentlichen von Protokollen in Logs sind Berechtigungen erforderlich CloudWatch

Für die Konfiguration der CloudWatch Web-ACL-Datenverkehrsprotokollierung für eine Logs-Protokollgruppe sind die in diesem Abschnitt beschriebenen Berechtigungseinstellungen erforderlich. Die Berechtigungen werden für Sie festgelegt, wenn Sie eine der verwalteten Richtlinien AWS WAF mit vollem Zugriff verwenden, AWSWAFConsoleFullAccess oderAWSWAFFullAccess. Wenn Sie den Zugriff auf Ihre Protokollierung und AWS WAF Ressourcen detaillierter verwalten möchten, können Sie die Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM-Benutzerhandbuch. Weitere Informationen zu durch AWS WAF verwalteten Richtlinien finden Sie unter AWS verwaltete Richtlinien für AWS WAF.

Mit diesen Berechtigungen können Sie die Web-ACL-Protokollierungskonfiguration ändern, die Protokollzustellung für CloudWatch Logs konfigurieren und Informationen über Ihre Log-Gruppe abrufen. Diese Berechtigungen müssen an den Benutzer angehängt werden, den Sie zur Verwaltung von AWS WAF verwenden. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie mit der "Resource" Einstellung von angegeben"*". Das bedeutet, dass die Aktionen für alle AWS Ressourcen zulässig sind, die jede Aktion unterstützt. Die Aktion wafv2:PutLoggingConfiguration wird beispielsweise nur für wafv2-Protokollkonfigurationsressourcen unterstützt.