本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon CloudWatch 日志
本主题提供有关将 Web ACL 流量日志发送到 CloudWatch 日志组的信息。
注意
除了 Amazon WAF使用费用外,您还需要支付登录费用。有关信息,请参阅 记录 Web ACL 流量信息的定价。
要向 Amazon CloudWatch Logs 发送日志,您需要创建一个 CloudWatch 日志日志组。启用登录功能时 Amazon WAF,您需要提供日志组 ARN。启用 Web ACL 的日志记录后,会将日志 Amazon WAF 传送到 CloudWatch 日志流中的日志日志组。
使用 CloudWatch 日志时,可以在 Amazon WAF 控制台中浏览 Web ACL 的日志。在您的 Web ACL 页面中,选择日志记录见解选项卡。此选项是对通过 CloudWatch 控制台为日志提供的 CloudWatch 日志见解的补充。
配置 Amazon WAF Web ACL 日志的日志组与 Web ACL 位于同一区域,并使用与管理 Web ACL 相同的帐户。有关配置 CloudWatch 日志组的信息,请参阅使用日志组和日志流。
CloudWatch 日志日志组的配额
CloudWatch 日志具有默认的最大吞吐量配额,该配额在区域内的所有日志组中共享,您可以请求增加该配额。如果您的日志记录要求对于当前的吞吐量设置PutLogEvents来说过高,您将看到您的账户的限制指标。要在 Service Quotas 控制台中查看限制并申请提高配额,请参阅CloudWatch 日志 PutLogEvents 配额
日志组命名
您的日志组名称必须以 aws-waf-logs- 开头,但可以按照您的喜好以任何后缀结尾,例如 aws-waf-logs-testLogGroup2。
所产生的 ARN 格式如下所示:
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
日志流的命名格式如下所示:
Region_web-acl-name_log-stream-number
以下显示了 us-east-1 区域中 Web ACL TestWebACL 的日志流示例。
us-east-1_TestWebACL_0
将日志发布到 CloudWatch 日志所需的权限
为日志组配置 Web ACL 流量 CloudWatch 日志记录需要本节所述的权限设置。这些权限是在您使用 Amazon WAF 完全访问托管策略之一时为您设置的,AWSWAFConsoleFullAccess或AWSWAFFullAccess。如果您想更精细地管理对日志记录和 Amazon WAF 资源的访问权限,则可以自己设置权限。有关管理权限的信息,请参阅 IAM 用户指南中的Amazon 资源访问管理。有关 Amazon WAF
托管策略的信息,请参阅 Amazon 的托管策略 Amazon WAF。
这些权限允许您更改 Web ACL 日志配置、为 CloudWatch 日志配置日志传送以及检索有关您的日志组的信息。这些权限必须附加到您用来管理 Amazon WAF的用户。
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" } { "Sid":"WebACLLoggingCWL", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource":[ "*" ], "Effect":"Allow" } ] }
如果允许对所有 Amazon 资源执行操作,则会在策略中指明,"Resource"设置为"*"。这意味着允许对每个操作支持的所有 Amazon 资源执行这些操作。例如,只有 wafv2 日志记录配置资源支持操作 wafv2:PutLoggingConfiguration。