**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 向 Amazon 日志组发送保护包 (Web ACL) 流量 CloudWatch 日志
<a name="logging-cw-logs"></a>

本主题提供有关将保护包 (Web ACL) 流量日志发送到 CloudWatch 日志组的信息。

**注意**  
除了 Amazon WAF使用费用外，您还需要支付登录费用。有关信息，请参阅[日志记录保护包（web ACL）流量信息的定价](logging-pricing.md)。

要向 Amazon CloudWatch Logs 发送日志，您需要创建一个 CloudWatch 日志日志组。启用登录功能时 Amazon WAF，您需要提供日志组 ARN。为保护包 (Web ACL) 启用日志记录后，将日志 Amazon WAF 传送到 CloudWatch 日志流中的日志日志组。

使用 CloudWatch 日志时，可以在 Amazon WAF 控制台中浏览保护包 (Web ACL) 的日志。在保护包（web ACL）页面中，选择**日志记录见解**选项卡。此选项是对通过 CloudWatch 控制台为日志提供的 CloudWatch 日志见解的补充。

为 Amazon WAF 保护包 (Web ACL) 日志配置日志组，该日志与保护包位于同一区域 (Web ACL)，并使用与管理保护包 (Web ACL) 相同的帐户。有关配置 CloudWatch 日志组的信息，请参阅[使用日志组和日志流](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。

## CloudWatch 日志日志组的配额
<a name="logging-cw-logs-quotas"></a>

CloudWatch 日志具有默认的最大吞吐量配额，该配额在区域内的所有日志组中共享，您可以请求增加该配额。如果您的日志要求太高而不适应当前的吞吐量设置，则会看到您账户的 `PutLogEvents` 节流指标。要在 Service Quotas 控制台中查看限制并申请提高配额，请参阅[CloudWatch 日志 PutLogEvents 配额](https://console.amazonaws.cn/servicequotas/home/services/logs/quotas/L-7E1FAE88)。

## 日志组命名
<a name="logging-cw-logs-naming"></a>

您的日志组名称必须以 `aws-waf-logs-` 开头，但可以按照您的喜好以任何后缀结尾，例如 `aws-waf-logs-testLogGroup2`。

所产生的 ARN 格式如下所示：

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

日志流的命名格式如下所示：

```
Region_web-acl-name_log-stream-number
```

以下显示 `us-east-1` 区域中保护包（web ACL）`TestWebACL` 的日志流示例。

```
us-east-1_TestWebACL_0
```

## 将日志发布到 CloudWatch 日志所需的权限
<a name="logging-cw-logs-permissions"></a>

为日志组配置保护包 (Web ACL) 流量 CloudWatch 日志记录需要本节所述的权限设置。这些权限是在您使用 Amazon WAF 完全访问托管策略之一时为您设置的，`AWSWAFConsoleFullAccess`或`AWSWAFFullAccess`。如果您想更精细地管理对日志和 Amazon WAF 资源的访问权限，则可以自己设置权限。有关管理权限的信息，请参阅 *IAM 用户指南*中的[Amazon 资源访问管理](https://docs.amazonaws.cn/IAM/latest/UserGuide/access.html)。有关 Amazon WAF 托管策略的信息，请参阅 [Amazon 的托管策略 Amazon WAF](security-iam-awsmanpol.md)。

这些权限允许您更改保护包 (Web ACL) 日志配置，为 CloudWatch 日志配置日志传输，以及检索有关您的日志组的信息。这些权限必须附加到您用来管理 Amazon WAF的用户。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

如果允许对所有 Amazon 资源执行操作，则会在策略中进行指示，并`"Resource"`设置为`"*"`。这意味着允许对*每个操作支持的所有 Amazon 资源执行这些操作*。例如，只有 `wafv2` 日志记录配置资源支持操作 `wafv2:PutLoggingConfiguration`。