As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Grupo de CloudWatch registros do Amazon Logs
Este tópico fornece informações para enviar seus registros de tráfego da Web ACL para um grupo de CloudWatch registros de registros.
nota
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar informações de tráfego de web ACL.
Para enviar registros para o Amazon CloudWatch Logs, você cria um grupo de CloudWatch registros de registros. Ao ativar o login AWS WAF, você fornece o ARN do grupo de registros. Depois de ativar o registro para sua ACL da web, AWS WAF entrega os registros para o grupo de CloudWatch registros de registros em fluxos de registros.
Ao usar o CloudWatch Logs, você pode explorar os registros da sua ACL da web no AWS WAF console. Na sua página de web ACL, selecione a guia Log Insights. Essa opção é um acréscimo aos insights de registro fornecidos para o CloudWatch Logs por meio do CloudWatch console.
Configure o grupo de registros para registros de ACL AWS WAF da web na mesma região da ACL da web e usando a mesma conta que você usa para gerenciar a ACL da web. Para obter informações sobre como configurar um grupo de CloudWatch registros, consulte Como trabalhar com grupos de registros e fluxos de registros.
Cotas para grupos de CloudWatch registros de registros
CloudWatch O Logs tem uma cota máxima padrão de taxa de transferência, compartilhada entre todos os grupos de registros em uma região, que você pode solicitar para aumentar. Se seus requisitos de registro forem muito altos para a configuração atual de taxa de transferência, você verá métricas de limitação PutLogEvents
para sua conta. Para ver o limite no console Service Quotas e solicitar um aumento, consulte a cota de CloudWatch registros PutLogEvents
Nomenclatura de grupos de logs
Os nomes dos grupos de logs devem começar com aws-waf-logs-
e terminar com qualquer sufixo que você quiser, por exemplo, aws-waf-logs-testLogGroup2
.
O formato resultante do ARN é o seguinte:
arn:aws:logs:
Region
:account-id
:log-group:aws-waf-logs-log-group-suffix
Os fluxos de log têm o seguinte formato de nomenclatura:
Region
_web-acl-name
_log-stream-number
O exemplo a seguir mostra um exemplo de fluxo de log para web ACL TestWebACL
na região us-east-1
.
us-east-1_TestWebACL_0
Permissões necessárias para publicar registros no CloudWatch Logs
A configuração do registro de tráfego da Web ACL para um grupo de CloudWatch registros de registros requer as configurações de permissões descritas nesta seção. As permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso AWS WAF total, AWSWAFConsoleFullAccess
ouAWSWAFFullAccess
. Se você quiser gerenciar um acesso mais refinado ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir as permissões. Para obter informações sobre o gerenciamento de permissões, consulte Gerenciamento de acesso para AWS recursos no Guia do usuário do IAM. Para obter informações sobre as políticas gerenciadas do AWS WAF
, consulte AWS políticas gerenciadas para AWS WAF.
Essas permissões permitem que você altere a configuração de registro da Web ACL, configure a entrega de CloudWatch registros para registros e recupere informações sobre seu grupo de registros. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF.
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma "Resource"
configuração de"*"
. Isso significa que as ações são permitidas em todos os AWS recursos que cada ação suporta. Por exemplo, a ação wafv2:PutLoggingConfiguration
é suportada somente para wafv2
registrar recursos de configuração.