Amazon Simple Storage Service - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
命名要求和语法将日志发布到 Amazon S3 的权限 Amazon S3 日志文件访问权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Simple Storage Service

本主题提供将您的 Web ACL 流量日志发送到 Amazon S3 存储桶的信息。

注意

除了使用费用外,您还需要支付登录费用Amazon WAF. 有关信息,请参阅记录 Web ACL 流量信息的定价

要将您的 Web ACL 流量日志发送到 Amazon S3,您需要为日志设置一个 Amazon S3 存储桶。启用登录时Amazon WAF,您提供存储桶 ARN。有关创建日志记录存储桶的更多信息,请参阅创建存储桶在里面亚马逊简单存储服务用户指南.

注意

Amazon WAF支持使用 Amazon S3 存储桶加密密钥类型 Amazon S3 密钥 (SSE-S3) 和Amazon Key Management Service(SSE-KMS)Amazon KMS keys.Amazon WAF不支持对的加密Amazon Key Management Service由管理的密钥Amazon.

您的 Web ACL 每隔 5 分钟将日志文件发布到 Amazon S3 存储桶。每个日志文件包含在过去 5 分钟内记录的流量的日志记录。

日志文件的最大文件大小为 75 MB。如果日志文件在 5 分钟期间内达到文件大小限制,日志会停止向它添加记录,将其发布到 Amazon S3 存储桶,然后创建一个新的日志文件。

单个日志文件包含多条记录的交错条目。要查看 Web ACL 的所有日志文件,请查找按 Web ACL 名称、区域和您的账户 ID 汇总的条目。

命名要求和语法

您的存储段名称Amazon WAF日志必须以开头aws-waf-logs-并且可以以你想要的任何后缀结尾。例如,aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX

存储桶位置使用以下语法:

s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/

存储桶 Amazon 资源名称 (ARN) 的格式如下:

arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX

在你的水桶里,你的Amazon WAF日志写在文件夹结构下,该结构由您的账户 ID、区域、Web ACL 名称以及日期和时间决定。

AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm

在文件夹内,日志文件名遵循类似的格式:

account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz

文件夹结构和日志文件名中使用的时间规格符合时间戳格式规范YYYYMMddTHHmmZ.

以下所示为 Amazon S3 存储桶中的示例日志文件。DOC-EXAMPLE-BUCKET. Amazon Web Services 账户 为 11111111111。Web ACLTEST-WEBACL而该地区是us-east-1.

s3://DOC-EXAMPLE-BUCKET/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
注意

您的存储段名称Amazon WAF日志必须以开头aws-waf-logs-并且可以以你想要的任何后缀结尾。

将日志发布到 Amazon S3 的权限

配置 Amazon S3 存储桶的 Web ACL 流量日志记录需要以下权限设置。这些权限是在您使用以下任一权限时为您设置的Amazon WAF完全访问托管策略,AWSWAFConsoleFullAccess要么AWSWAFFullAccess. 如果你想管理对你的日志的更精细的访问权限和Amazon WAF资源,您可以自行设置这些权限。有关管理权限的信息,请参阅适用于的访问管理Amazon资源在里面IAM 用户指南. 有关以下内容的信息Amazon WAF托管策略,请参阅Amazon适用于 Amazon WAF 的托管策略.

以下权限允许您更改 Web ACL 日志记录配置和配置向 Amazon S3 存储桶的日志传输。这些权限必须附加到您用于管理的用户Amazon WAF.

注意

当您设置下面列出的权限时,您可能会在您的权限中看到错误Amazon CloudTrail显示访问被拒绝但权限正确的日志Amazon WAF记录。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
             "arn:aws:s3:::aws-waf-logs-example-bucket"
         ],
         "Effect":"Allow"
      }
   ]
}

当允许对所有人采取行动时Amazon资源,在政策中注明了"Resource"适用于的设置"*". 这意味着允许所有人采取行动Amazon资源每个动作都支持. 例如,动作wafv2:PutLoggingConfiguration仅对于才支持wafv2记录配置资源。

默认情况下,Amazon S3 存储桶及其包含的对象都是私有的。只有存储桶拥有者才能访问存储桶和其中存储的对象。但是,存储桶拥有者可以通过编写访问策略来向其他资源和用户授予访问权限。

如果创建日志的用户拥有存储桶,则该服务会自动将以下策略附加到存储桶,以授予日志向它发布日志的权限:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-example-bucket/AWSLogs/account-id/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["account-id"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:region:account-id:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-example-bucket",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": ["account-id"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:region:account-id:*"]
        }
      }
    }
  ]
}
注意

您的存储段名称Amazon WAF日志必须以开头aws-waf-logs-并且可以以你想要的任何后缀结尾。

如果创建日志的用户不拥有存储桶,或者没有GetBucketPolicyPutBucketPolicy存储桶的权限,日志创建失败。在这种情况下,存储桶拥有者必须手动将上述策略添加到存储桶,并指定日志创建者的Amazon Web Services 账户ID 有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的如何添加 S3 存储桶策略? 如果存储桶从多个账户接收日志,则添加Resource元素入口AWSLogDeliveryWrite每个账户的政策声明。

例如,以下存储桶策略允许Amazon Web Services 账户 111122223333将日志发布到名为的存储桶aws-waf-logs-doc-example

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-example-bucket/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-example-bucket",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}

Amazon S3 日志文件访问权限

除了必需的存储桶策略外,Amazon S3 使用访问控制列表 (ACL) 管理对由Amazon WAF日志。默认情况下,存储桶拥有者对每个日志文件具有 FULL_CONTROL 权限。如果日志传输拥有者与存储桶拥有者不同,则没有权限。日志传输账户具有 READWRITE 权限。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的访问控制列表 (ACL) 概述

日志文件是压缩文件。如果您使用 Amazon S3 控制台打开这些文件,Amazon S3 将解压缩日志记录并显示出来。如果您下载日志文件,则必须对其进行解压才能查看记录。