Amazon CloudWatch Logs - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Quotas pour CloudWatch les groupes de journauxDésignation des groupes de journaux Autorisations pour la journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon CloudWatch Logs

Cette rubrique fournit des informations sur l'envoi de vos journaux de trafic ACL Web à un groupe de CloudWatch journaux de journaux.

Note

La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d’informations, consultez Tarification de l'enregistrement des informations relatives au trafic ACL Web.

Pour envoyer des journaux à Amazon CloudWatch Logs, vous devez créer un groupe de CloudWatch journaux de journaux. Lorsque vous activez la connexion AWS WAF, vous fournissez l'ARN du groupe de journaux. Une fois que vous avez activé la journalisation pour votre ACL Web, AWS WAF les journaux sont transmis au groupe de CloudWatch journaux Logs sous forme de flux de journaux.

Lorsque vous utilisez CloudWatch Logs, vous pouvez explorer les journaux de votre ACL Web dans la AWS WAF console. Sur votre page ACL Web, sélectionnez l'onglet Logging insights. Cette option s'ajoute aux informations de journalisation fournies aux CloudWatch journaux via la CloudWatch console.

Configurez le groupe de journaux pour les journaux ACL AWS WAF Web dans la même région que l'ACL Web et en utilisant le même compte que celui que vous utilisez pour gérer l'ACL Web. Pour plus d'informations sur la configuration d'un groupe de CloudWatch journaux, consultez la section Utilisation des groupes de journaux et des flux de journaux.

Quotas pour CloudWatch les groupes de journaux

CloudWatch Les journaux ont un quota de débit maximal par défaut, partagé entre tous les groupes de journaux d'une région, que vous pouvez demander à augmenter. Si vos exigences de journalisation sont trop élevées par rapport au paramètre de débit actuel, des mesures de limitation s'afficheront PutLogEvents pour votre compte. Pour consulter la limite dans la console Service Quotas et demander une augmentation, consultez le PutLogEvents quota de CloudWatch logs.

Désignation des groupes de journaux

Les noms de vos groupes de journaux doivent commencer par aws-waf-logs- et peuvent se terminer par le suffixe de votre choix, aws-waf-logs-testLogGroup2 par exemple.

Le format ARN obtenu est le suivant : 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Les flux de journaux ont le format de dénomination suivant : 

Region_web-acl-name_log-stream-number

Voici un exemple de flux de journal pour l'ACL Web TestWebACL dans Regionus-east-1. 

us-east-1_TestWebACL_0

Autorisations requises pour publier des journaux dans CloudWatch Logs

La configuration de la journalisation du trafic Web ACL pour un groupe de CloudWatch journaux de journaux nécessite les paramètres d'autorisation décrits dans cette section. Les autorisations sont définies pour vous lorsque vous utilisez l'une des politiques gérées d'accès AWS WAF complet, AWSWAFConsoleFullAccess ouAWSWAFFullAccess. Si vous souhaitez gérer un accès plus précis à votre journalisation et à vos AWS WAF ressources, vous pouvez définir vous-même les autorisations. Pour plus d'informations sur la gestion des autorisations, consultez la section Gestion de l'accès aux AWS ressources dans le Guide de l'utilisateur IAM. Pour plus d'informations sur les politiques AWS WAF gérées, consultezAWS politiques gérées pour AWS WAF.

Ces autorisations vous permettent de modifier la configuration de journalisation de l'ACL Web, de configurer la livraison des CloudWatch journaux et de récupérer des informations sur votre groupe de journaux. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Lorsque des actions sont autorisées sur toutes les AWS ressources, cela est indiqué dans la politique avec un "Resource" paramètre de"*". Cela signifie que les actions sont autorisées sur toutes les AWS ressources prises en charge par chaque action. Par exemple, l'action n'wafv2:PutLoggingConfigurationest prise en charge que pour la wafv2 journalisation des ressources de configuration.