Envoi de journaux ACL de trafic Web à un groupe de CloudWatch journaux Amazon Logs - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Quotas pour CloudWatch les groupes de journauxDésignation des groupes de journaux Autorisations pour la journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoi de journaux ACL de trafic Web à un groupe de CloudWatch journaux Amazon Logs

Cette rubrique fournit des informations sur l'envoi de vos journaux de ACL trafic Web à un groupe de CloudWatch journaux de journaux.

Note

La connexion vous est facturée en plus des frais d'utilisation AWS WAF Pour plus d'informations, consultez Tarification de l'enregistrement des informations sur ACL le trafic Web.

Pour envoyer des journaux à Amazon CloudWatch Logs, vous devez créer un groupe de CloudWatch journaux de journaux. Lorsque vous activez la connexion AWS WAF, vous fournissez le groupe de journauxARN. Après avoir activé la journalisation pour votre site WebACL, AWS WAF fournit des journaux au groupe de CloudWatch journaux Logs dans des flux de journaux.

Lorsque vous utilisez CloudWatch les journaux, vous pouvez consulter les journaux de votre site Web ACL dans le AWS WAF console. Sur votre ACL page Web, sélectionnez l'onglet Logging insights. Cette option s'ajoute aux informations de journalisation fournies pour les CloudWatch journaux via la CloudWatch console.

Configurer le groupe de journaux pour AWS WAF ACLse connecte dans la même région que le Web ACL et utilise le même compte que celui que vous utilisez pour gérer le WebACL. Pour plus d'informations sur la configuration d'un groupe de CloudWatch journaux, consultez la section Utilisation des groupes de journaux et des flux de journaux.

Quotas pour CloudWatch les groupes de journaux

CloudWatch Les journaux ont un quota de débit maximal par défaut, partagé entre tous les groupes de journaux d'une région, que vous pouvez demander à augmenter. Si vos exigences de journalisation sont trop élevées par rapport au paramètre de débit actuel, des mesures de limitation s'afficheront PutLogEvents pour votre compte. Pour consulter la limite dans la console Service Quotas et demander une augmentation, consultez le PutLogEvents quota de CloudWatch logs.

Désignation des groupes de journaux

Les noms de vos groupes de journaux doivent commencer par aws-waf-logs- et peuvent se terminer par le suffixe de votre choix, aws-waf-logs-testLogGroup2 par exemple.

Le ARN format obtenu est le suivant : 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Les flux de journaux ont le format de dénomination suivant : 

Region_web-acl-name_log-stream-number

Voici un exemple de flux de journal pour le Web ACL TestWebACL dans Regionus-east-1. 

us-east-1_TestWebACL_0

Autorisations requises pour publier des journaux dans CloudWatch Logs

La configuration de l'enregistrement ACL du trafic Web pour un groupe de CloudWatch journaux de journaux nécessite les paramètres d'autorisation décrits dans cette section. Les autorisations sont définies pour vous lorsque vous utilisez l'un des AWS WAF politiques gérées d'accès complet, AWSWAFConsoleFullAccess ouAWSWAFFullAccess. Si vous souhaitez gérer un accès plus précis à votre journalisation et AWS WAF ressources, vous pouvez définir vous-même les autorisations. Pour plus d'informations sur la gestion des autorisations, voir Gestion des accès pour AWS ressources du guide de IAM l'utilisateur. Pour plus d'informations sur le AWS WAF politiques gérées, voirAWS politiques gérées pour AWS WAF.

Ces autorisations vous permettent de modifier la configuration de la ACL journalisation Web, de configurer la livraison des CloudWatch journaux et de récupérer des informations sur votre groupe de journaux. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Quand les actions sont autorisées sur tous AWS ressources, cela est indiqué dans la politique avec un "Resource" paramètre de"*". Cela signifie que les actions sont autorisées sur tous AWS ressources prises en charge par chaque action. Par exemple, l'action n'wafv2:PutLoggingConfigurationest prise en charge que pour la wafv2 journalisation des ressources de configuration.