本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon CloudWatch 日誌日誌組
本主題提供將 Web ACL 流量記錄檔傳送至記錄檔記 CloudWatch 錄群組的相關資訊。
注意
除了使用費外,您還需要支付登錄費用 AWS WAF。如需相關資訊,請參閱記錄網頁 ACL 流量資訊的定價。
若要將日誌傳送到 Amazon CloudWatch 日誌,請建立 CloudWatch 日誌日誌群組。啟用登入時 AWS WAF,請提供記錄群組 ARN。啟用 Web ACL 的記錄之後,會將記錄 AWS WAF 傳送到記錄串流中的記錄 CloudWatch 檔記錄群組。
使用 CloudWatch 記錄檔時,您可以在 AWS WAF 主控台中瀏覽 Web ACL 的記錄。在您的 Web ACL 頁面中,選取 [記錄見解] 索引標籤。此選項是透過 CloudWatch 主控台為 Lo CloudWatch gs 提供的記錄深入解析之外的其他選項。
在與 AWS WAF Web ACL 相同的區域中設定 Web ACL 記錄的記錄群組,並使用與管理 Web ACL 相同的帳戶。如需設定記 CloudWatch 錄檔記錄群組的詳細資訊,請參閱使用記錄群組和記錄串流。
CloudWatch 記錄檔記錄群組的配額
CloudWatch 記錄具有輸送量的預設最大配額,可供區域內的所有記錄群組共用,您可以要求增加。如果您的記錄需求對於目前的輸送量設定而言太高,您會看到帳戶的PutLogEvents節流指標。若要在「Service Quotas」主控台中檢視限制並要求增加,請參閱CloudWatch 記錄配 PutLogEvents 額
記錄群組命名
您的記錄群組名稱必須以您喜歡的任何尾碼開頭,aws-waf-logs-並且可以結尾,例如aws-waf-logs-testLogGroup2。
產生的 ARN 格式如下:
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
記錄串流具有下列命名格式:
Region_web-acl-name_log-stream-number
以下顯示區域TestWebACL中 Web ACL 的記錄資料流範例us-east-1。
us-east-1_TestWebACL_0
將記錄檔發佈至記錄檔所需的 CloudWatch 權限
為記錄 CloudWatch 檔記錄群組設定 Web ACL 流量記錄需要本節所述的權限設定。當您使用其中一個 AWS WAF 完整存取受管理的原則時,會為您設定權限,AWSWAFConsoleFullAccess或AWSWAFFullAccess。如果您想要管理更精細的記錄和 AWS WAF 資源存取權限,您可以自行設定權限。如需管理許可的相關資訊,請參閱 IAM 使用者指南中的 AWS 資源存取管理。如需有關 AWS WAF
受管理策略的資訊,請參閱AWS 受管理的政策 AWS WAF。
這些權限可讓您變更 Web ACL 記錄設定、設定記錄 CloudWatch 檔的記錄傳遞,以及擷取記錄群組的相關資訊。這些權限必須附加至您用來管理的使用者 AWS WAF。
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
當允許對所有 AWS 資源執行動作時,會在策略中以"Resource"設定表示"*"。這表示每個動作支援的所有 AWS 資源都允許執行這些動作。例如,只有wafv2記錄組態資源才支援動作wafv2:PutLoggingConfiguration。
