亚马逊 CloudWatch 日志 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
日志组的配额日志组命名 将日志发布到 Logs 所需的权限 CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 CloudWatch 日志

本主题提供有关将 Web ACL 流量日志发送到 CloudWatch 日志日志组的信息。

注意

除了使用费用外,您还需要支付登录费用Amazon WAF。有关信息,请参阅 记录 Web ACL 流量信息的定价

要向 Amazon CloudWatch Logs 发送日志,您需要创建 CloudWatch 日志日志组。启用登录时Amazon WAF,您需要提供日志组 ARN。启用 Web ACL 的日志记录后,将日志以日志流形式Amazon WAF CloudWatch 传送到 Logs 日志组。

使用 CloudWatch 日志时,可以在Amazon WAF控制台中浏览 Web ACL 的日志。在您的网页 ACL 页面中,选择 “记录见解” 选项卡。此选项是对通过 CloudWatch 控制台为日志提供的 CloudWatch 日志见解的补充。

在与Amazon WAF Web ACL 相同的区域中配置 Web ACL 日志的日志组,并使用与管理 Web ACL 相同的帐户。有关配置 CloudWatch 日志组的信息,请参阅使用日志组和日志流

日志组的配额

以下默认最大配额适用于 CloudWatch 日志组的空间和吞吐量限额。如果您对这些设置的登录要求过高,您将看到账户PutLogEvent的限制指标。如果您看到限制迹象,则可以通过Service Quotas 控制台的Service Quotas 向两者Amazon WAF和 CloudWatch Logs 请求提高限

  • 每个 Web ACL 的日志流数 — 35。您可以通过以下方式请求增加这笔的值Amazon WAF。

  • 每个日志流的吞吐量 — 每秒 5 MB。此设置是固定的。

  • 一个账户的所有日志流的吞吐量 — 每秒 1,500 MB。您可以从 Logs 请求增加此 CloudWatch 值。

日志组命名

例如,您的日志组名称必须以您喜欢的任何后缀开头aws-waf-logs-和结尾aws-waf-logs-testLogGroup2

生成的 ARN 格式如下所示:

arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix

日志流的命名格式如下:

Region_web-acl-name_log-stream-number

日志流编号是一个正整数,小于或等于每个 Web ACL 的日志流数量Amazon WAF配额,如前所述。默认情况下,配额为 35。

以下显示了区域中 Web ACLTestWebACL 的示例日志流us-east-1

us-east-1_TestWebACL_19

将日志发布到 Logs 所需的权限 CloudWatch

为日志 CloudWatch 日志组配置 Web ACL 流量记录需要本节中描述的权限设置。这些权限是在您使用Amazon WAF完全访问管理策略之一时为您设置的,AWSWAFConsoleFullAccess或者AWSWAFFullAccess。如果您想更细致地管理对您的日志记录和Amazon WAF资源的访问权限,可以自己设置权限。有关管理权限的信息,请参阅 IAM 用户指南中的Amazon资源访问管理。有关Amazon WAF托管策略的信息,请参阅Amazon适用于 Amazon WAF 的托管策略

这些权限允许您更改 Web ACL 日志配置,为 CloudWatch 日志配置日志传输,以及检索有关您的日志组的信息。这些权限必须附加到您用来管理的用户Amazon WAF。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[

            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      }
      {
         "Sid":"WebACLLoggingCWL",
         "Action":[
            "logs:CreateLogDelivery",
            "logs:DeleteLogDelivery",
            "logs:PutResourcePolicy",
            "logs:DescribeResourcePolicies",
            "logs:DescribeLogGroups"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow"
      }
   ]
}

当允许对所有Amazon资源执行操作时,策略中将指明"Resource"设置为"*"。这意味着允许对每个操作支持的所有Amazon资源执行操作。例如,该操作wafv2:PutLoggingConfiguration仅支持wafv2记录配置资源。