介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
将保护包(web ACL)流量日志发送到 Amazon Data Firehose 传输流
本节提供将保护包(web ACL)流量日志发送到 Amazon Data Firehose 传输流的信息。
注意
除了 Amazon WAF 使用费用外,您还需要支付登录费用。有关信息,请参阅 日志记录保护包(web ACL)流量信息的定价。
要将日志发送到 Amazon Data Firehose,请将保护包(web ACL)中的日志发送到您在 Firehose 中配置的 Amazon Data Firehose 传输流。启用日志记录后,Amazon WAF 会通过 Firehose 的 HTTPS 端点将日志传输到目标存储位置。
一条 Amazon WAF 日志等同于一条 Firehose 记录。如果您通常每秒接收 1 万个请求并启用了完整日志,您的 Firehose 中应具有每秒 1 万个记录的设置。如果您未正确配置 Firehose,Amazon WAF 将无法记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 限额。
有关如何使用 Amazon Data Firehose 传输流以及如何查看存储的日志的信息,请参阅什么是 Amazon Data Firehose
有关创建传输流的信息,请参阅创建 Amazon Data Firehose 传输流。
为保护包(web ACL)配置 Amazon Data Firehose 传输流
如下所示,为保护包(web ACL)配置 Amazon Data Firehose 传输流。
-
使用与管理保护包(web ACL)相同的账户以进行创建。
-
将其创建在与保护包(web ACL)相同的区域中。如果您正在为 Amazon CloudFront 捕获日志,请在美国东部(弗吉尼亚州北部)区域
us-east-1创建。 -
为数据消防队指定一个以前缀
aws-waf-logs-开头的名称。例如aws-waf-logs-us-east-2-analytics。 -
将其配置为直接放置,这样应用程序就可以直接访问传送流。在 Amazon Data Firehose 控制台
中,对于传输流来源设置,选择 Direct PUT 或其他来源。通过 API,将传送流属性 DeliveryStreamType设置 为DirectPut。注意
请勿使用
Kinesis stream作为来源。
将日志发布到 Amazon Data Firehose 传输流所需的权限
要了解 Kinesis Data Firehose 配置所需的权限,请参阅 使用 Amazon Kinesis Data Firehose 控制访问。
您必须拥有以下权限才能成功启用 Amazon Data Firehose 传输流的保护包(web ACL)日志。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
有关服务相关角色以及 iam:CreateServiceLinkedRole 权限的信息,请参阅 将服务相关角色用于 Amazon WAF。