Envío de registros de ACL tráfico web a un grupo de CloudWatch registros de Amazon Logs - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Cuotas para grupos de CloudWatch registrosDenominación de grupos de registro Permisos para el registro de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de registros de ACL tráfico web a un grupo de CloudWatch registros de Amazon Logs

En este tema se proporciona información para enviar los registros de ACL tráfico web a un grupo de CloudWatch registros.

nota

Se le cobrará por iniciar sesión además de los cargos por su uso AWS WAF Para obtener información, consulte Precios para registrar la información ACL de tráfico web..

Para enviar registros a Amazon CloudWatch Logs, debe crear un grupo de CloudWatch registros de registros. Cuando habilita el inicio de sesión AWS WAF, usted proporciona el grupo de registrosARN. Después de habilitar el registro en la webACL, AWS WAF entrega los registros al grupo de CloudWatch registros de registros en flujos de registros.

Cuando utilizas CloudWatch los registros, puedes explorar los registros de tu web ACL en el AWS WAF console. En tu ACL página web, selecciona la pestaña Información sobre el registro. Esta opción se suma a la información de registro que se proporciona para CloudWatch los registros a través de la CloudWatch consola.

Configure el grupo de registros para AWS WAF ACLregistros web en la misma región que la web ACL y con la misma cuenta que utiliza para administrar la webACL. Para obtener información sobre la configuración de un grupo de CloudWatch registros, consulte Trabajar con grupos de registros y flujos de registros.

Cuotas para grupos de CloudWatch registros

CloudWatch Logs tiene una cuota máxima de rendimiento predeterminada, que se comparte entre todos los grupos de registros de una región y que puedes solicitar para aumentarla. Si tus requisitos de registro son demasiado altos para la configuración de rendimiento actual, verás las métricas de limitación de tu cuenta. PutLogEvents Para ver el límite en la consola de Service Quotas y solicitar un aumento, consulta la PutLogEvents cuota de CloudWatch Logs.

Denominación de grupos de registro

Los nombres de sus grupos de registro deben empezar aws-waf-logs- por y terminar con el sufijo que desee, por ejemplo, aws-waf-logs-testLogGroup2.

El ARN formato resultante es el siguiente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Los flujos de registros tienen un formato similar al siguiente: 

Region_web-acl-name_log-stream-number

A continuación se muestra un ejemplo de flujo de registro para la web ACL TestWebACL en Regionus-east-1. 

us-east-1_TestWebACL_0

Permisos necesarios para publicar CloudWatch registros en Logs

La configuración ACL del registro del tráfico web para un grupo de CloudWatch registros requiere la configuración de permisos que se describe en esta sección. Los permisos se configuran automáticamente cuando se utiliza uno de los AWS WAF políticas gestionadas de acceso completo, AWSWAFConsoleFullAccess oAWSWAFFullAccess. Si desea gestionar un acceso más detallado a sus registros y AWS WAF recursos, puede configurar los permisos usted mismo. Para obtener información sobre la administración de permisos, consulte Administración del acceso para AWS recursos en la Guía IAM del usuario. Para obtener información sobre la AWS WAF políticas gestionadas, consulteAWS políticas gestionadas para AWS WAF.

Estos permisos le permiten cambiar la configuración del ACL registro web, configurar la entrega de CloudWatch registros para los registros y recuperar información sobre su grupo de registros. Estos permisos deben estar asociados al usuario que utilice para administrar AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Cuando las acciones están permitidas en todos AWS recursos, se indica en la política con una "Resource" configuración de"*". Esto significa que las acciones están permitidas en todos AWS recursos que admite cada acción. Por ejemplo, la acción wafv2:PutLoggingConfiguration solo se admite para registrar los recursos de configuración wafv2.