아마존 CloudWatch 로그 로그 그룹 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
CloudWatch 로그 로그 그룹 할당량로그 그룹 이름 지정 로깅에 대한 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 CloudWatch 로그 로그 그룹

이 주제에서는 웹 ACL 트래픽 로그를 로그 로그 그룹으로 전송하는 데 필요한 정보를 제공합니다. CloudWatch

참고

AWS WAF사용 요금 외에 로그인 요금이 부과됩니다. 자세한 내용은 웹 ACL 트래픽 정보 로깅 요금을 참조하세요.

Amazon Logs로 CloudWatch 로그를 보내려면 CloudWatch Logs 로그 그룹을 생성합니다. 로그인을 AWS WAF활성화하면 로그 그룹 ARN을 제공합니다. 웹 ACL에 대한 로깅을 활성화하면 로그 스트림의 로그 로그 그룹에 CloudWatch 로그를 AWS WAF 전달합니다.

CloudWatch 로그를 사용하면 콘솔에서 웹 ACL의 로그를 탐색할 수 있습니다. AWS WAF 웹 ACL 페이지에서 로깅 인사이트 탭을 선택합니다. 이 옵션은 CloudWatch 콘솔을 통해 CloudWatch 로그에 대해 제공되는 로깅 인사이트에 추가됩니다.

웹 ACL과 동일한 지역에 있고 AWS WAF 웹 ACL을 관리하는 데 사용한 것과 동일한 계정을 사용하여 웹 ACL 로그에 대한 로그 그룹을 구성합니다. 로그 로그 그룹 구성에 대한 자세한 내용은 CloudWatch 로그 그룹 및 로그 스트림 작업을 참조하십시오.

CloudWatch 로그 로그 그룹 할당량

CloudWatch 로그에는 기본적으로 최대 처리량 할당량이 있으며, 이는 지역 내 모든 로그 그룹에서 공유되며, 이 할당량을 늘리도록 요청할 수 있습니다. 로깅 요구 사항이 현재 처리량 설정에 비해 너무 높으면 계정에 PutLogEvents 대한 제한 측정항목이 표시됩니다. Service Quotas 콘솔에서 한도를 확인하고 증가를 요청하려면 로그 할당량을 참조하세요CloudWatch . PutLogEvents

로그 그룹 이름 지정

로그 그룹 이름은 aws-waf-logs-로 시작해야 하며 예를 들어 aws-waf-logs-testLogGroup2 등 끝에는 원하는 접미사를 붙일 수 있습니다.

결과 ARN 형식은 다음과 같습니다.

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

로그 스트림의 이름 지정 형식은 다음과 같습니다.

Region_web-acl-name_log-stream-number

다음은 리전 us-east-1의 웹 TestWebACL ACL에 대한 예제 로그 스트림입니다.

us-east-1_TestWebACL_0

로그를 로그에 게시하는 데 필요한 권한 CloudWatch

로그 CloudWatch 로그 그룹에 대한 웹 ACL 트래픽 로깅을 구성하려면 이 섹션에 설명된 권한 설정이 필요합니다. 권한은 AWS WAF 전체 액세스 관리형 정책 (AWSWAFConsoleFullAccess또는AWSWAFFullAccess) 중 하나를 사용할 때 자동으로 설정됩니다. 로깅 및 AWS WAF 리소스에 대한 보다 세밀한 액세스를 관리하려면 권한을 직접 설정할 수 있습니다. 권한 관리에 대한 자세한 내용은 IAM 사용 설명서의 AWS 리소스 액세스 관리를 참조하십시오. AWS WAF 관리형 정책에 대한 자세한 내용은 AWS 에 대한 관리형 정책 AWS WAF을 참조하세요.

이러한 권한을 통해 웹 ACL 로깅 구성을 변경하고, 로그에 대한 로그 전달을 구성하고, CloudWatch 로그 그룹에 대한 정보를 검색할 수 있습니다. 이러한 권한은 AWS WAF를 관리하는 데 사용하는 사용자에게 연결되어야 합니다.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

모든 AWS 리소스에 대해 작업이 허용되면 정책에 "Resource" 설정이 지정되어 표시됩니다. "*" 즉, 각 작업이 지원하는 모든 AWS 리소스에 대해 해당 작업이 허용됩니다. 예를 들어 wafv2:PutLoggingConfiguration 작업은 wafv2 로깅 구성 리소스에서만 지원됩니다.