Amazon Data Firehose-Lieferstream - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Richtlinien zur KonfigurationBerechtigungen für die -Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Data Firehose-Lieferstream

Dieser Abschnitt enthält Informationen zum Senden Ihrer Web-ACL-Traffic-Logs an einen Amazon Data Firehose-Lieferstream.

Anmerkung

Die Kosten für die Protokollierung werden zusätzlich zu den Kosten für die Nutzung von AWS WAF berechnet. Weitere Informationen finden Sie unter Preise für die Protokollierung von Web-ACL-Datenverkehrsinformationen.

Um Protokolle an Amazon Data Firehose zu senden, senden Sie Protokolle von Ihrer Web-ACL an einen Amazon Data Firehose-Lieferstream, den Sie in Firehose konfigurieren. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden Protokolle über den HTTPS-Endpunkt von Firehose an Ihr Speicherziel gesendet.

Ein AWS WAF Protokoll entspricht einem Firehose-Datensatz. Wenn Sie normalerweise 10.000 Anfragen pro Sekunde erhalten und vollständige Protokolle aktivieren, sollten Sie in Firehose eine Einstellung von 10.000 Datensätzen pro Sekunde haben. Wenn Sie Firehose nicht richtig konfigurieren, AWS WAF werden nicht alle Protokolle aufgezeichnet. Weitere Informationen finden Sie unter Amazon Kinesis Data Firehose-Kontingente.

Informationen dazu, wie Sie einen Amazon Data Firehose-Lieferstream erstellen und Ihre gespeicherten Protokolle überprüfen, finden Sie unter Was ist Amazon Data Firehose?

Informationen zur Erstellung Ihres Lieferstroms finden Sie unter Einen Amazon Data Firehose-Lieferstream erstellen.

Konfiguration eines Amazon Data Firehose-Lieferdatenstroms für Ihre Web-ACL

Konfigurieren Sie wie folgt einen Amazon Firehose Firehose-Lieferstream für Ihre Web-ACL.

  • Erstellen Sie ihn mit demselben Konto, das Sie für die Verwaltung der Web-ACL verwenden.

  • Erstellen Sie ihn in der gleichen Region wie die Web-ACL. Wenn Sie Logs für Amazon erfassen CloudFront, erstellen Sie die Firehose in der Region USA Ost (Nord-Virginia),us-east-1.

  • Geben Sie dem Data Firehose einen Namen, der mit dem Präfix aws-waf-logs- beginnt. z. B. aws-waf-logs-us-east-2-analytics.

  • Konfigurieren Sie ihn für Direct Put, sodass Anwendungen direkt auf den Bereitstellungsstrom zugreifen können. Wählen Sie in der Amazon Data Firehose-Konsole für die Einstellung Delivery Stream Source die Option Direct PUT oder andere Quellen aus. Legen Sie über die API die Eigenschaft DeliveryStreamType des Bereitstellungsstroms auf DirectPut fest.

    Anmerkung

    Verwenden Sie keinen Kinesis stream als Ihre Quelle.

Zum Veröffentlichen von Protokollen in einem Amazon Data Firehose-Lieferstream sind Berechtigungen erforderlich

Informationen zu den für Ihre Kinesis-Data-Firehose-Konfiguration erforderlichen Berechtigungen finden Sie unter Controlling Access with Amazon Kinesis Data Firehose (Zugriff mit Amazon Kinesis Data Firehose steuern).

Sie müssen über die folgenden Berechtigungen verfügen, um die Web-ACL-Protokollierung mit einem Amazon Data Firehose-Lieferstream erfolgreich zu aktivieren.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Weitere Informationen zu serviceverknüpften Rollen und zur iam:CreateServiceLinkedRole-Berechtigung finden Sie unter Verwenden von serviceverknüpften Rollen für AWS WAF.