Amazon Data Firehose 전송 스트림

이 섹션에서는 Amazon Data Firehose 전송 스트림으로 웹 ACL 트래픽 로그를 전송하는 데 필요한 정보를 제공합니다.

참고

AWS WAF사용 요금 외에 로그인 요금이 부과됩니다. 자세한 내용은 웹 ACL 트래픽 정보 로깅 요금을 참조하세요.

Amazon Data Firehose에 로그를 보내려면 웹 ACL에서 Firehose에서 구성한 Amazon Data Firehose 전송 스트림으로 로그를 전송합니다. 로깅을 활성화하면 Firehose의 HTTPS 엔드포인트를 통해 스토리지 대상에 로그를 AWS WAF 전달합니다.

AWS WAF 로그 하나는 Firehose 레코드 하나와 같습니다. 일반적으로 초당 10,000개의 요청을 수신하고 전체 로그를 활성화하는 경우 Firehose에서 초당 10,000개의 레코드를 설정해야 합니다. Firehose를 올바르게 구성하지 않으면 모든 로그가 AWS WAF 기록되지 않습니다. 자세한 내용은 Amazon Kinesis Data Firehose 할당량을 참조하십시오.

Amazon Data Firehose 전송 스트림을 생성하고 저장된 로그를 검토하는 방법에 대한 자세한 내용은 Amazon Data Firehose란 무엇입니까? 를 참조하십시오.

전송 스트림 생성에 대한 자세한 내용은 Amazon Data Firehose 전송 스트림 생성을 참조하십시오.

웹 ACL을 위한 Amazon Data Firehose 전송 스트림 구성

다음과 같이 웹 ACL에 대한 Amazon Data Firehose 전송 스트림을 구성합니다.

• 웹 ACL을 관리하는 데 사용하는 것과 동일한 계정을 사용하여 생성합니다.

• 웹 ACL과 동일한 리전에서 생성합니다. CloudFrontAmazon의 로그를 캡처하는 경우 미국 동부 (버지니아 북부) 지역에서 파이어호스를 생성하십시오. us-east-1

• Data Firehose에 aws-waf-logs- 접두사로 시작하는 이름을 지정합니다. 예를 들어 aws-waf-logs-us-east-2-analytics입니다.

• 직접 입력으로 구성하여 애플리케이션이 전송 스트림에 직접 액세스할 수 있도록 합니다. Amazon Data Firehose 콘솔에서 전송 스트림 소스 설정으로 다이렉트 PUT 또는 기타 소스를 선택합니다. API를 통해 전송 스트림 속성 DeliveryStreamType을 DirectPut로 설정합니다.

  참고

  Kinesis stream을 소스로 사용하지 마십시오.

Amazon Data Firehose 전송 스트림에 로그를 게시하는 데 필요한 권한

Kinesis Data Firehose 구성에 필요한 권한을 이해하려면 Amazon Kinesis Data Firehose를 사용한 액세스 제어를 참조하세요.

Amazon Data Firehose 전송 스트림을 사용하여 웹 ACL 로깅을 성공적으로 활성화하려면 다음 권한이 있어야 합니다.

• iam:CreateServiceLinkedRole

• firehose:ListDeliveryStreams

• wafv2:PutLoggingConfiguration

서비스 연결 역할 및 iam:CreateServiceLinkedRole 권한에 대한 자세한 내용은 서비스 연결 역할 사용 AWS WAF 섹션을 참조하세요.