Envoi de journaux ACL de trafic Web à un flux de diffusion Amazon Data Firehose - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Directives de configurationAutorisations pour la journalisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoi de journaux ACL de trafic Web à un flux de diffusion Amazon Data Firehose

Cette section fournit des informations sur l'envoi de vos journaux de ACL trafic Web vers un flux de diffusion Amazon Data Firehose.

Note

La connexion vous est facturée en plus des frais d'utilisation AWS WAF Pour plus d'informations, consultez Tarification de l'enregistrement des informations sur ACL le trafic Web.

Pour envoyer des journaux à Amazon Data Firehose, vous devez envoyer des journaux depuis votre site Web ACL vers un flux de diffusion Amazon Data Firehose que vous configurez dans Firehose. Après avoir activé la journalisation, AWS WAF fournit les journaux à votre destination de stockage via le HTTPS point de terminaison de Firehose.

Un AWS WAF le journal est équivalent à un enregistrement Firehose. Si vous recevez généralement 10 000 requêtes par seconde et que vous activez les journaux complets, vous devriez avoir un paramètre de 10 000 enregistrements par seconde dans Firehose. Si vous ne configurez pas Firehose correctement, AWS WAF n'enregistrera pas tous les journaux. Pour plus d'informations, consultez la section Quotas Amazon Kinesis Data Firehose.

Pour plus d'informations sur la façon de créer un flux de diffusion Amazon Data Firehose et de consulter vos journaux enregistrés, consultez Qu'est-ce qu'Amazon Data Firehose ?

Pour plus d'informations sur la création de votre flux de diffusion, consultez Création d'un flux de diffusion Amazon Data Firehose.

Configuration d'un flux de diffusion Amazon Data Firehose pour votre site Web ACL

Configurez un flux de diffusion Amazon Data Firehose pour votre site Web ACL comme suit.

  • Créez-le en utilisant le même compte que celui que vous utilisez pour gérer le WebACL.

  • Créez-le dans la même région que le WebACL. Si vous capturez des journaux pour Amazon CloudFront, créez le firehose dans la région USA Est (Virginie du Nord),us-east-1.

  • Donnez au data firehose un nom commençant par le préfixeaws-waf-logs-. Par exemple, aws-waf-logs-us-east-2-analytics.

  • Configurez-le pour le téléchargement direct, ce qui permet aux applications d'accéder directement au flux de diffusion. Dans la console Amazon Data Firehose, pour le paramètre Source du flux de diffusion, choisissez Direct PUT ou autres sources. Par le biais deAPI, définissez la propriété du flux DeliveryStreamType de diffusion surDirectPut.

    Note

    N'utilisez pas a Kinesis stream comme source.

Autorisations requises pour publier des journaux dans un flux de diffusion Amazon Data Firehose

Pour comprendre les autorisations requises pour votre configuration Kinesis Data Firehose, consultez la section Contrôle des accès avec Amazon Kinesis Data Firehose.

Vous devez disposer des autorisations suivantes pour activer correctement la ACL journalisation Web avec un flux de diffusion Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Pour plus d'informations sur les rôles liés aux services et les iam:CreateServiceLinkedRole autorisations, consultez. Utilisation de rôles liés à un service pour AWS WAF