Grupo de CloudWatch registros do Amazon Logs - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Cotas para grupos de CloudWatch registros de registrosNomenclatura de grupos de logs Permissões de log do

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupo de CloudWatch registros do Amazon Logs

Este tópico fornece informações para enviar seus registros de tráfego da Web ACL para um grupo de CloudWatch registros de registros.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar informações de tráfego de web ACL.

Para enviar registros para o Amazon CloudWatch Logs, você cria um grupo de CloudWatch registros de registros. Ao ativar o login AWS WAF, você fornece o ARN do grupo de registros. Depois de ativar o registro para sua ACL da web, AWS WAF entrega os registros para o grupo de CloudWatch registros de registros em fluxos de registros.

Ao usar o CloudWatch Logs, você pode explorar os registros da sua ACL da web no AWS WAF console. Na sua página de web ACL, selecione a guia Log Insights. Essa opção é um acréscimo aos insights de registro fornecidos para o CloudWatch Logs por meio do CloudWatch console.

Configure o grupo de registros para registros de ACL AWS WAF da web na mesma região da ACL da web e usando a mesma conta que você usa para gerenciar a ACL da web. Para obter informações sobre como configurar um grupo de CloudWatch registros, consulte Como trabalhar com grupos de registros e fluxos de registros.

Cotas para grupos de CloudWatch registros de registros

CloudWatch O Logs tem uma cota máxima padrão de taxa de transferência, compartilhada entre todos os grupos de registros em uma região, que você pode solicitar para aumentar. Se seus requisitos de registro forem muito altos para a configuração atual de taxa de transferência, você verá métricas de limitação PutLogEvents para sua conta. Para ver o limite no console Service Quotas e solicitar um aumento, consulte a cota de CloudWatch registros PutLogEvents .

Nomenclatura de grupos de logs

Os nomes dos grupos de logs devem começar com aws-waf-logs- e terminar com qualquer sufixo que você quiser, por exemplo, aws-waf-logs-testLogGroup2.

O formato resultante do ARN é o seguinte: 

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

Os fluxos de log têm o seguinte formato de nomenclatura: 

Region_web-acl-name_log-stream-number

O exemplo a seguir mostra um exemplo de fluxo de log para web ACL TestWebACL na região us-east-1. 

us-east-1_TestWebACL_0

Permissões necessárias para publicar registros no CloudWatch Logs

A configuração do registro de tráfego da Web ACL para um grupo de CloudWatch registros de registros requer as configurações de permissões descritas nesta seção. As permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso AWS WAF total, AWSWAFConsoleFullAccess ouAWSWAFFullAccess. Se você quiser gerenciar um acesso mais refinado ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir as permissões. Para obter informações sobre o gerenciamento de permissões, consulte Gerenciamento de acesso para AWS recursos no Guia do usuário do IAM. Para obter informações sobre as políticas gerenciadas do AWS WAF , consulte AWS políticas gerenciadas para AWS WAF.

Essas permissões permitem que você altere a configuração de registro da Web ACL, configure a entrega de CloudWatch registros para registros e recupere informações sobre seu grupo de registros. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma "Resource" configuração de"*". Isso significa que as ações são permitidas em todos os AWS recursos que cada ação suporta. Por exemplo, a ação wafv2:PutLoggingConfiguration é suportada somente para wafv2 registrar recursos de configuração.