本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Web ACL 流量日志发送到 Amazon Data Firehose 传输流
本节提供了将 Web ACL 流量日志发送到 Amazon Data Firehose 传输流的信息。
注意
除了 Amazon WAF使用费用外,您还需要支付登录费用。有关信息,请参阅记录 Web ACL 流量信息的定价。
要将日志发送到 Amazon Data Firehose,请将 Web ACL 中的日志发送到您在 Firehose 中配置的 Amazon Data Firehose 传输流。启用日志记录后,通过 Firehose 的 HTTPS 端点将日志 Amazon WAF 传送到您的存储目标。
一个 Amazon WAF 日志等同于一个 Firehose 记录。如果您通常每秒接收 10,000 个请求并启用了完整日志,您的 Firehose 中应具有每秒 10,000 个记录的设置。如果您未正确配置 Firehose,则 Amazon WAF 不会记录所有日志。有关更多信息,请参阅 Amazon Kinesis Data Firehose 限额。
有关如何使用 Amazon Data Firehose 传输流以及如何查看存储的日志的信息,请参阅什么是 Amazon Data Firehose
有关创建传输流的信息,请参阅创建 Amazon Data Firehose 传输流。
为您的 Web ACL 配置 Amazon Data Firehose 传输流
如下所示,为您的Web ACL 配置 Amazon Data Firehose 传输流。
-
使用与管理 Web ACL 相同的账户来创建它。
-
将其创建在与 Web ACL 相同的区域中。如果您要为 Amazon 捕获日志 CloudFront,请在美国东部(弗吉尼亚北部)地区创建 firehose。
us-east-1 -
为数据消防队指定一个以前缀
aws-waf-logs-开头的名称。例如,aws-waf-logs-us-east-2-analytics。 -
将其配置为直接放置,这样应用程序就可以直接访问传送流。在 Amazon Data Firehose 控制台
中,对于传输流来源设置,选择 Direct PUT 或其他来源。通过 API,将传送流属性 DeliveryStreamType设置 为DirectPut。注意
请勿使用
Kinesis stream作为来源。
将日志发布到 Amazon Data Firehose 传输流所需的权限
要了解 Kinesis Data Firehose 配置所需的权限,请参阅 使用 Amazon Kinesis Data Firehose 控制访问。
您必须拥有以下权限才能成功启用 Amazon Data Firehose 传输流的 Web ACL 日志。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
有关服务相关角色以及 iam:CreateServiceLinkedRole 权限的信息,请参阅将服务相关角色用于 Amazon WAF。