本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Kinesis Data Firehose
本部分提供了有关将您的 Web ACL 流量日志发送到 Amazon Kinesis Data Firehose。
注意
除了使用费用外,您还需要支付登录费用Amazon WAF。有关信息,请参阅 记录 Web ACL 流量信息的定价。
要将日志发送到 Amazon Kinesis Data Firehose,您需要将日志从网络 ACL 发送到已配置存储目标的 Amazon Kinesis Data Firehose。启用日志记录后,通过 Kinesis Data Firehose 的 HTTPS 端点将日志Amazon WAF传送到您的存储目的地。
有关如何创建Amazon Kinesis Data Firehose 和查看存储日志的信息,请参阅什么是Amazon Kinesis Data Firehose? 要了解您的 Kinesis Data Firehose 配置所需的权限,请参阅使用 Amazon Kinesis Data Firehose 控制访问。
您必须具有以下权限才能成功启用使用 Amazon Kinesis Data Firehose e 的日志记录
iam:CreateServiceLinkedRolefirehose:ListDeliveryStreamswafv2:PutLoggingConfiguration
有关服务相关角色和iam:CreateServiceLinkedRole权限的信息,请参阅将服务相关角色用于 Amazon WAF。
有关创建传输流的更多信息,请参阅创建 Amazon Kinesis Data Firehose 传输流。
按如下方式为 Web ACL 配置 Amazon Kinesis Data Firehose 传输流。
-
使用与管理 Web ACL 相同的帐户创建它。
-
在与 Web ACL 相同的区域中创建它。如果您要为Amazon 捕获日志 CloudFront,请在美国东部(弗吉尼亚北部)区域创建消防管
us-east-1。 -
为数据 firehose 指定一个以前缀开头的名称
aws-waf-logs-。例如,aws-waf-logs-us-east-2-analytics。 -
将其配置为直接输入,允许应用程序直接访问传输流。在 Amazon Kinesis Data Firehose 控制台中,对于传输流源设置,选择 Direct PUT 或其他来源。通过 API,将交付流属性设置
DeliveryStreamType为DirectPut。注意
请勿使用 a
Kinesis stream作为来源。
一条Amazon WAF日志等同于一条 Kinesis Data Firehose 记录。如果您通常每秒收到 10,000 个请求并且启用了完整日志,则在 Kinesis Data Firehose 中应设置每秒 10,000 条记录。如果您未正确配置 Kinesis Data Firehose,则Amazon WAF不会记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 配额。