本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Kinesis Data Firehose
本节提供将您的 Web ACL 流量日志发送到 Amazon Kinesis Data Firehose 的信息。
除了使用费用外,您还需要支付登录费用Amazon WAF. 有关信息,请参阅记录 Web ACL 流量信息的定价。
要向 Amazon Kinesis Data Firehose 发送日志,您需要将日志从您的 Web ACL 发送到配置了存储目的地的 Amazon Kinesis Data Firehose。启用日志记录后,Amazon WAF通过 Kinesis Data Firehose 的 HTTPS 端点将日志传送到您的存储目的地。
有关如何创建 Amazon Kinesis Data Firehose 和查看您存储的日志的信息,请参阅Amazon Kinesis Data Firehose 是什么? 要了解您的 Kinesis Data Firehose 配置所需的权限,请参阅使用 Amazon Kinesis Data Firehose 控制访问.
您必须具有以下权限才能成功启用 Amazon Kinesis Data Firehose 进行日志记录
iam:CreateServiceLinkedRolefirehose:ListDeliveryStreamswafv2:PutLoggingConfiguration
有关服务相关角色的信息,以及iam:CreateServiceLinkedRole权限,请参阅将服务相关角色用于 Amazon WAF.
有关创建传输流的更多信息,请参阅创建 Amazon Kinesis Data Firehose 传输流.
如下所示,为您的 Web ACL 配置 Amazon Data Firehose 传输流。
-
使用与管理 Web ACL 相同的帐户创建它。
-
在与 Web ACL 相同的区域中创建它。如果您正在为亚马逊捕获日志 CloudFront,在美国东部(弗吉尼亚北部)区域创建消防水带,
us-east-1. -
给数据火管起一个以前缀开头的名字
aws-waf-logs-. 例如,aws-waf-logs-us-east-2-analytics。 -
将其配置为直接输入,这允许应用程序直接访问传输流。在 Amazon Kinesis Data Firehose 控制台中,用于传输流源设置,选择直接看跌期权或其他来源. 通过 API 设置传输流属性
DeliveryStreamType到DirectPut.注意 请勿使用
Kinesis stream作为来源。
第一Amazon WAF日志相当于一条 Kinesis Data Firehose 记录。如果您通常每秒收到 10,000 个请求并启用完整日志,则应在 Kinesis Data Firehose 中设置每秒 10,000 条记录。如果你没有正确配置 Kinesis Data Firehose,Amazon WAF不会记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 配额。