Amazon CloudWatch Logs ロググループ - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Logs CloudWatch ロググループのクォータロググループの命名 ログ記録のアクセス許可

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch Logs ロググループ

このトピックでは、ウェブ ACL トラフィックログを CloudWatch Logs ロググループに送信するための情報を提供します。

注記

AWS WAFの使用料金に加えて、ログ記録の料金が請求されます。詳細については、「ウェブ ACL トラフィックのログ記録の料金に関する情報」を参照してください。

Amazon CloudWatch Logs にログを送信するには、 CloudWatch ログロググループを作成します。でログ記録を有効にするときは AWS WAF、ロググループ ARN を指定します。ウェブ ACL のログ記録を有効にすると、 はログストリームの CloudWatch Logs ロググループにログを AWS WAF 配信します。

CloudWatch Logs を使用すると、 コンソールで AWS WAF ウェブ ACL のログを調べることができます。ウェブ ACL ページで、[Logging insights] (ログ記録のインサイト) タブを選択します。このオプションは、 CloudWatch コンソールを介して CloudWatch ログに記録されるインサイトに追加されます。

AWS WAF ウェブ ACL と同じリージョンのウェブ ACL ログのロググループを設定し、ウェブ ACL の管理に使用するのと同じアカウントを使用します。 CloudWatch Logs ロググループの設定については、「ロググループとログストリームの使用」を参照してください。

Logs CloudWatch ロググループのクォータ

CloudWatch ログにはスループットのデフォルトの最大クォータがあり、リージョン内のすべてのロググループで共有されます。このクォータは引き上げをリクエストできます。ログ記録要件が現在のスループット設定に対して高すぎる場合、アカウントの PutLogEventsのスロットリングメトリクスが表示されます。Service Quotas コンソールで制限を表示して引き上げをリクエストするには、CloudWatch 「ログ PutLogEvents クォータ」を参照してください。

ロググループの命名

ロググループ名は aws-waf-logs- で始まる必要があり、末尾を任意のサフィックスにすることができます (例: aws-waf-logs-testLogGroup2)。

結果として生じる ARN 形式は次のとおりです。

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

ログストリームの命名形式は次のとおりです。

Region_web-acl-name_log-stream-number

リージョン us-east-1 のウェブ ACL TestWebACL のログストリームの例を次に示します。

us-east-1_TestWebACL_0

ログを CloudWatch Logs に発行するために必要なアクセス許可

Logs ロググループのウェブ ACL CloudWatch トラフィックログ記録を設定するには、このセクションで説明するアクセス許可設定が必要です。アクセス許可は、 AWS WAF フルアクセス管理ポリシーの 1 つ、AWSWAFConsoleFullAccessまたは を使用する場合に設定されますAWSWAFFullAccess。ログ記録と AWS WAF リソースへのよりきめ細かなアクセスを管理する場合は、アクセス許可を自分で設定できます。アクセス許可の管理の詳細については、「IAM ユーザーガイド」の「 AWS リソースのアクセス管理」を参照してください。 AWS WAF マネージドポリシーの詳細については、「AWS の マネージドポリシー AWS WAF」を参照してください。

これらのアクセス許可により、ウェブ ACL ログ記録設定を変更したり、 CloudWatch ログのログ配信を設定したり、ロググループに関する情報を取得したりできます。これらの許可は、 AWS WAFの管理に使用するユーザーにアタッチされる必要があります。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

すべての AWS リソースでアクションが許可されている場合、ポリシーに "Resource"の設定で示されます"*"。つまり、各アクションが をサポートしているすべての AWS リソースでアクションが許可されます。 例えば、アクション wafv2:PutLoggingConfiguration は、wafv2 のログ記録設定リソースでのみサポートされます。