本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 數據 Firehose 交付流
本節提供將網頁 ACL 流量日誌傳送至 Amazon 資料 Firehose 交付串流的相關資訊。
注意
除了使用費外,您還需要支付登錄費用 AWS WAF。如需相關資訊,請參閱記錄網頁 ACL 流量資訊的定價。
若要將日誌傳送到 Amazon 資料 Firehose,您可以將日誌從您的網路 ACL 傳送到 Amazon 資料 Firehose 交付串流,您可以在 Firehose 中設定該串流。啟用記錄後,會透過 Firehose 的 HTTPS 端點將記錄 AWS WAF 傳送至儲存目的地。
一個 AWS WAF 日誌相當於一個 Firehose 記錄。如果您通常每秒收到 10,000 個請求,而且啟用了完整記錄,則 Firehose 中的每秒應該有 10,000 筆記錄設定。如果您未正確設定 Firehose, AWS WAF 將不會記錄所有記錄檔。如需詳細資訊,請參閱 Amazon Kinesis Data Firehose 配額。
如需如何建立 Amazon 資料 Firehose 交付串流和檢閱儲存的日誌的相關資訊,請參閱什麼是 Amazon 資料 Fire hose?
如需建立交付串流的相關資訊,請參閱建立 Amazon 資料 Firehose 交付串流。
為您的網頁 ACL 設定 Amazon 資料 Firehose 交付串流
為您的網路 ACL 設定 Amazon 資料 Firehose 交付串流,如下所示。
-
使用與管理 Web ACL 相同的帳戶建立它。
-
在與 Web ACL 相同的區域中建立它。如果您要擷取 Amazon 的日誌 CloudFront,請在美國東部 (維吉尼亞北部) 區域建立 Firehose。
us-east-1 -
為資料提供以前綴
aws-waf-logs-開頭的名稱。例如aws-waf-logs-us-east-2-analytics。 -
將其設定為直接 put,這可讓應用程式直接存取交付串流。在 Amazon 資料 Firehose 主控台中,對於交付串流來源設定,請選擇直接 PUT 或其他來源。透過 API,將交付串流屬性設定
DeliveryStreamType為DirectPut。注意
請勿使用 a
Kinesis stream作為來源。
將日誌發佈到 Amazon 資料 Firehose 交付串流所需的許可
若要瞭解 Kinesis Data Firehose 組態所需的許可,請參閱使用 Amazon Kinesis Data Firehose 控制存取。
您必須具備下列許可,才能透過 Amazon 資料 Firehose 交付串流成功啟用 Web ACL 記錄。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
如需服務連結角色和iam:CreateServiceLinkedRole權限的相關資訊,請參閱使用服務連結角色 AWS WAF。
