Mengirim log lalu lintas paket perlindungan (ACL web) ke aliran pengiriman Amazon Data Firehose - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Pedoman konfigurasiIzin untuk pencatatan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengirim log lalu lintas paket perlindungan (ACL web) ke aliran pengiriman Amazon Data Firehose

Bagian ini memberikan informasi untuk mengirim log lalu lintas paket perlindungan (ACL web) Anda ke aliran pengiriman Amazon Data Firehose.

catatan

Anda dikenakan biaya untuk logging selain biaya untuk menggunakan AWS WAF. Untuk informasi, lihat Harga untuk informasi lalu lintas paket perlindungan pencatatan (web ACL).

Untuk mengirim log ke Amazon Data Firehose, Anda mengirim log dari paket perlindungan (web ACL) ke aliran pengiriman Amazon Data Firehose yang Anda konfigurasikan di Firehose. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log ke tujuan penyimpanan Anda melalui titik akhir HTTPS Firehose.

Satu AWS WAF log setara dengan satu catatan Firehose. Jika Anda biasanya menerima 10.000 permintaan per detik dan mengaktifkan log penuh, Anda harus memiliki pengaturan 10.000 catatan per detik di Firehose. Jika Anda tidak mengonfigurasi Firehose dengan benar, tidak AWS WAF akan merekam semua log. Untuk informasi selengkapnya, lihat kuota Amazon Kinesis Data Firehose.

Untuk informasi tentang cara membuat aliran pengiriman Amazon Data Firehose dan meninjau log yang disimpan, lihat Apa itu Amazon Data Firehose?

Untuk informasi tentang membuat aliran pengiriman, lihat Membuat aliran pengiriman Amazon Data Firehose.

Mengonfigurasi aliran pengiriman Amazon Data Firehose untuk paket perlindungan Anda (web ACL)

Konfigurasikan aliran pengiriman Amazon Data Firehose untuk paket perlindungan (web ACL) Anda sebagai berikut.

  • Buat menggunakan akun yang sama seperti yang Anda gunakan untuk mengelola paket perlindungan (web ACL).

  • Buat di Wilayah yang sama dengan paket perlindungan (web ACL). Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di Wilayah AS Timur (Virginia N.),. us-east-1

  • Berikan firehose data nama yang dimulai dengan awalanaws-waf-logs-. Misalnya, aws-waf-logs-us-east-2-analytics.

  • Konfigurasikan untuk direct put, yang memungkinkan aplikasi mengakses aliran pengiriman secara langsung. Di konsol Amazon Data Firehose, untuk setelan Sumber aliran pengiriman, pilih Direct PUT atau sumber lainnya. Melalui API, atur properti aliran pengiriman DeliveryStreamType keDirectPut.

    catatan

    Jangan gunakan Kinesis stream sebagai sumber Anda.

Izin yang diperlukan untuk memublikasikan log ke aliran pengiriman Amazon Data Firehose

Untuk memahami izin yang diperlukan untuk konfigurasi Firehose Data Kinesis, lihat Mengontrol Akses dengan Amazon Kinesis Data Firehose.

Anda harus memiliki izin berikut agar berhasil mengaktifkan pencatatan paket perlindungan (web ACL) dengan aliran pengiriman Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Untuk informasi tentang peran terkait layanan dan iam:CreateServiceLinkedRole izin, lihat. Menggunakan peran terkait layanan untuk AWS WAF