Gruppo di CloudWatch log Amazon Logs - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Quote per i gruppi di log Logs CloudWatch Denominazione dei gruppi di log Autorizzazioni per la registrazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gruppo di CloudWatch log Amazon Logs

Questo argomento fornisce informazioni per inviare i log di traffico Web ACL a un gruppo di log Logs. CloudWatch

Nota

Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione. AWS WAF Per informazioni, consulta Prezzi per la registrazione delle informazioni sul traffico ACL Web.

Per inviare i log ad Amazon CloudWatch Logs, devi creare un gruppo di CloudWatch log Logs. Quando si abilita l'accesso AWS WAF, si fornisce l'ARN del gruppo di log. Dopo aver abilitato la registrazione per l'ACL Web, AWS WAF invia i log al gruppo Logs log nei flussi di CloudWatch log.

Quando usi CloudWatch Logs, puoi esplorare i log del tuo ACL web nella console. AWS WAF Nella tua pagina web ACL, seleziona la scheda Logging insights. Questa opzione si aggiunge alle informazioni di registrazione fornite per i CloudWatch registri tramite la console. CloudWatch

Configura il gruppo di log per i registri ACL AWS WAF Web nella stessa regione dell'ACL Web e utilizza lo stesso account utilizzato per gestire l'ACL Web. Per informazioni sulla configurazione di un gruppo di log CloudWatch Logs, consultate Working with Log Groups and Log Streams.

Quote per i gruppi di log Logs CloudWatch

CloudWatch Logs ha una quota massima predefinita per la velocità effettiva, condivisa tra tutti i gruppi di log all'interno di una regione, che è possibile richiedere di aumentare. Se i tuoi requisiti di registrazione sono troppo elevati per l'attuale impostazione del throughput, vedrai le metriche di limitazione relative al tuo account. PutLogEvents Per visualizzare il limite nella console Service Quotas e richiedere un aumento, consulta la quota CloudWatch PutLogEvents Logs.

Denominazione dei gruppi di log

I nomi dei gruppi di log devono iniziare con aws-waf-logs- e possono terminare con qualsiasi suffisso desiderato, ad esempio. aws-waf-logs-testLogGroup2

Il formato ARN risultante è il seguente: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

I flussi di log hanno il seguente formato di denominazione: 

Region_web-acl-name_log-stream-number

Di seguito viene illustrato un esempio di flusso di log per l'ACL TestWebACL Web in Region. us-east-1 

us-east-1_TestWebACL_0

Autorizzazioni necessarie per pubblicare i log in Logs CloudWatch

La configurazione della registrazione del traffico Web ACL per un gruppo di log CloudWatch Logs richiede le impostazioni di autorizzazione descritte in questa sezione. Le autorizzazioni vengono impostate automaticamente quando si utilizza una delle politiche di accesso gestito AWS WAF completo, oppure. AWSWAFConsoleFullAccess AWSWAFFullAccess Se desideri gestire un accesso più dettagliato alla registrazione e alle AWS WAF risorse, puoi impostare tu stesso le autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli accessi alle AWS risorse nella Guida per l'utente IAM. Per informazioni sulle politiche AWS WAF gestite, consultaAWS politiche gestite per AWS WAF.

Queste autorizzazioni consentono di modificare la configurazione della registrazione Web ACL, di configurare la consegna dei log per CloudWatch i registri e di recuperare informazioni sul gruppo di log. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione. AWS WAF

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Quando sono consentite azioni su tutte AWS le risorse, ciò è indicato nella politica con un'"Resource"impostazione di"*". Ciò significa che le azioni sono consentite su tutte le AWS risorse supportate da ciascuna azione. Ad esempio, l'azione wafv2:PutLoggingConfiguration è supportata solo per la wafv2 registrazione delle risorse di configurazione.