亚马逊 CloudWatch 日志 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
日志组配额日志组命名 将日志发布到 CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 CloudWatch 日志

本主题提供有关将 Web ACL 流量日志发送到 CloudWatch 日志组。

注意

除了使用费用外,您还需要支付登录费用Amazon WAF. 有关信息,请参阅记录 Web ACL 流量信息的定价

将日志发送到 Amazon CloudWatch 日志,你创建一个 CloudWatch 日志组。启用登录时Amazon WAF,请提供日志组 ARN。启用 Web ACL 的日志记录后,Amazon WAF将日志传送到 CloudWatch 日志流中的日志组。

当您使用以下应用程序时 CloudWatch 日志,您可以在 Web ACL 中浏览日志Amazon WAF控制台。在您的 Web ACL 页面中,选择选项卡记录见解. 此选项是对提供的日志见解的补充 CloudWatch 通过进行日志 CloudWatch 控制台。

为配置日志组Amazon WAFWeb ACL 日志与 Web ACL 位于同一个区域,使用与管理 Web ACL 相同的账户。有关配置 CloudWatch 日志日志组,请参阅使用日志组和日志流.

日志组配额

以下默认最大配额适用于的空间和吞吐量限额 CloudWatch 日志日志组。如果您对这些设置的日志要求过高,则会看到限制指标PutLogEvent用于您的账户。如果您看到限制的迹象,则可以请求提高两者的限额Amazon WAF和 CloudWatch 通过 Service Quotas 控制台进行记录Service Quotas.

  • 每个 Web ACL 的日志流数— 35。您可以请求提高此金额Amazon WAF.

  • 每个日志流的吞吐量— 每秒 5 MB。此设置是固定的。

  • 账户所有日志流的吞吐量— 每秒 1,500 MB。您可以请求提高此金额 CloudWatch 日志。

日志组命名

您的日志组名称必须以开头aws-waf-logs-并且可以以你喜欢的任何后缀结尾,例如aws-waf-logs-testLogGroup2.

生成的 ARN 格式如下所示:

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

日志流具有以下命名格式:

Region_web-acl-name_log-stream-number

日志流数字是一个小于或等于的正整数Amazon WAF每个 Web ACL 的日志流数量配额。默认情况下,配额为 35。

下面显示了一个示例 Web ACL 的示例日志流TestWebACL在区域us-east-1.

us-east-1_TestWebACL_19

将日志发布到 CloudWatch 日志

配置 Web ACL 流量记录 CloudWatch 日志日志组需要本节中描述的权限设置。当您使用以下任一权限时,系统会为您设置权限Amazon WAF完全访问托管策略,AWSWAFConsoleFullAccess要么AWSWAFFullAccess. 如果你想管理对你的日志的更精细的访问权限和Amazon WAF资源,您可以自己设置权限。有关管理权限的信息,请参阅适用于的访问管理Amazon资源在里面IAM 用户指南. 有关以下内容的信息Amazon WAF托管策略,请参阅Amazon适用于 Amazon WAF 的托管策略.

这些权限允许您更改 Web ACL 日志记录配置,为其配置日志传输 CloudWatch 日志,以及检索有关您的日志组的信息。这些权限必须附加到您用于管理的用户Amazon WAF.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

当允许对所有人采取行动时Amazon资源,在政策中注明了"Resource"适用于的设置"*". 这意味着允许所有人采取行动Amazon资源每个动作都支持. 例如,动作wafv2:PutLoggingConfiguration仅对于才支持wafv2记录配置资源。