Amazon CloudWatch Logs - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon CloudWatch Logs

このトピックでは、ウェブ ACL トラフィックログを CloudWatch Logs ロググループに送信するための情報を提供します。

注記

AWS WAF の使用料金に加えて、ログ記録の料金が請求されます。詳細については、「ウェブ ACL トラフィックのログ記録の料金に関する情報」を参照してください。

Amazon CloudWatch Logs にログを送信するには、 CloudWatch ログロググループを作成します。AWS WAF へのログインを有効にするときは、ロググループ ARN を指定します。ウェブ ACL のログ記録を有効にすると、 はログストリームの CloudWatch Logs ロググループにログをAWS WAF配信します。

CloudWatch Logs を使用すると、 AWS WAFコンソールでウェブ ACL のログを調べることができます。ウェブ ACL ページで、[Logging insights] (ログ記録のインサイト) タブを選択します。このオプションは、 CloudWatch コンソールを介して CloudWatch Logs に提供されるログ記録インサイトに追加されます。

ウェブ ACL と同じリージョンで、ウェブ ACL の管理に使用するのと同じアカウントを使用して、AWS WAF ウェブ ACL ログのロググループを設定します。 CloudWatch ログロググループの設定については、「ロググループとログストリームの使用」を参照してください。

ロググループのクォータ

CloudWatch Logs ロググループのスペースとスループットの許容値には、次のデフォルトの最大クォータが適用されます。ログ記録の要件がこれらの設定に対して高すぎる場合は、アカウントの PutLogEvent のスロットリングメトリクスが表示されます。スロットリングの兆候が見られる場合は、Service Quotas コンソールの Service Quotas Service Quotasコンソールを使用して、 AWS WAFと CloudWatch ログの両方から制限の引き上げをリクエストできます。

  • ウェブ ACL あたりのログストリームの数 – 35。AWS WAF からこの引き上げをリクエストできます。

  • ログストリームあたりのスループット – 1 秒あたり 5 MB。この設定は修正されています。

  • アカウントのすべてのログストリームのスループット – 1 秒あたり 1,500 MB。この引き上げを CloudWatch ログからリクエストできます。

ロググループの命名

ロググループ名は aws-waf-logs- で始まる必要があり、末尾を任意のサフィックスにすることができます (例: aws-waf-logs-testLogGroup2)。

結果として生じる ARN 形式は次のとおりです。

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

ログストリームの命名形式は次のとおりです。

Region_web-acl-name_log-stream-number

ログストリーム番号は、前述のように、ウェブ ACL あたりのログストリーム数の AWS WAF クォータ以下の正の整数です。デフォルトのクォータは 35 です。

リージョン us-east-1 のウェブ ACL TestWebACL のログストリームの例を次に示します。

us-east-1_TestWebACL_19

ログを CloudWatch ログに発行するために必要なアクセス許可

CloudWatch Logs ロググループのウェブ ACL トラフィックログ記録を設定するには、このセクションで説明するアクセス許可設定が必要です。AWS WAF フルアクセスマネージドポリシーのいずれか (AWSWAFConsoleFullAccess または AWSWAFFullAccess) を使用すると、許可が設定されます。ログ記録と AWS WAF リソースへのよりきめ細かいアクセスを管理したい場合は、自分で許可を設定できます。許可の管理については、「IAM ユーザーガイド」の「AWS リソースの アクセス管理」を参照してください。AWS WAF マネージドポリシーの詳細については、「AWS の AWS WAF マネージドポリシー」を参照してください。

これらのアクセス許可により、ウェブ ACL ログ記録設定を変更したり、 CloudWatch ログのログ配信を設定したり、ロググループに関する情報を取得したりできます。これらの許可は、AWS WAF の管理に使用するユーザーにアタッチされる必要があります。

{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }

すべての AWS リソースでアクションが許可されている場合、その旨はポリシーの "*""Resource" 設定で示されます。これは、各アクションがサポートするすべての AWS リソースでアクションが許可されることを意味します。例えば、アクション wafv2:PutLoggingConfiguration は、wafv2 のログ記録設定リソースでのみサポートされます。