管理 Web ACL 日志记录 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 Web ACL 日志记录

您可以随时对 Web ACL 启用和禁用日志记录功能。

注意

除了 Amazon WAF使用费用外,您还需要支付登录费用。有关信息,请参阅 记录 Web ACL 流量信息的定价

在 Web ACL 的日志配置中,您可以自定义 Amazon WAF 发送到日志的内容。

  • 字段密文 – 对于使用相应匹配设置的规则,您可以从日志记录中删除以下字段:URI 路径查询字符串单标头HTTP 方法。编辑后的字段在日志中显示为 REDACTED。例如,如果您在日志中编辑查询字符串字段,则该字段将与使用查询字符串匹配组件设置的所有规则的 REDACTED 一样列出。编辑仅适用于您在规则中指定匹配的请求组件,因此单个标头组件的编辑不适用于在标头上匹配的规则。有关日志字段的列表,请参阅 日志字段

    注意

    此设置对请求采样没有影响。对于请求采样,排除字段的唯一方法是禁用 Web ACL 的采样。

  • 日志筛选 – 您可以添加筛选功能以指定哪些 Web 请求保留在日志中,哪些将丢弃的筛选。您可以根据在 Web 请求评估期间 Amazon WAF 适用的设置进行筛选。您可以按以下设置进行筛选:

    • 完全限定的标签 – 完全限定的标签具有前缀、可选命名空间和标签名称。前缀用于标识添加标签的规则的规则组或 Web ACL 上下文。有关标签的信息,请参阅 Amazon WAF 网络请求上的标签

    • 规则操作 – 您可以根据任何普通规则操作设置进行筛选,也可以根据规则组规则的旧版 EXCLUDED_AS_COUNT 覆盖选项进行筛选。有关规则操作设置的信息,请参阅 规则操作。有关规则组规则的当前和旧规则操作覆盖的信息,请参阅 规则组中的操作覆盖

      • 普通规则操作筛选器适用于在规则中配置的操作,也适用于使用当前选项配置的用于覆盖规则组规则操作的操作。

      • EXCLUDED_AS_COUNT 日志筛选器与 Count 操作日志筛选器重叠。EXCLUDED_AS_COUNT 筛选当前和旧版选项,用于将规则组规则操作覆盖为 Count。

为 Web ACL 启用日志记录

此过程需要配置日志目标。有关您的目标选择和每个目标的要求的信息,请参阅 Amazon WAF 登录目的地

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中,选择 Web ACL

  3. 选择您要启用日志记录的 Web ACL 名称。控制台会将您转到 Web ACL 的描述,您可以在其中对其进行编辑。

  4. 日志记录 选项卡上,选择 启用日志记录

  5. 选择日志记录目标类型,然后选择您配置的日志记录目标。必须选择名称以 aws-waf-logs- 开头的日志记录目标。

  6. (可选)如果您不希望某些字段包含在日志中,请对其进行编辑。选择要编辑的字段,然后选择 添加。根据需要重复操作来编辑其他字段。

    注意

    此设置对请求采样没有影响。对于请求采样,排除字段的唯一方法是禁用 Web ACL 的采样。

  7. (可选)如果您不想向日志发送所有请求,请添加您的筛选条件和行为。在筛选日志下,对于要应用的每个筛选器,选择添加筛选条件,然后选择您的筛选条件并指定是要保留还是删除符合条件的请求。添加完筛选条件后,如果需要,可以修改默认日志记录行为

  8. 选择启用日志记录

    注意

    成功启用日志记录后, Amazon WAF 将创建一个服务关联角色,该角色具有将日志写入日志目标所需的权限。有关更多信息,请参阅 将服务相关角色用于 Amazon WAF

禁用 Web ACL 的日志记录

  1. 在导航窗格中,选择 Web ACL

  2. 选择您要禁用日志记录的 Web ACL 名称。控制台会将您转到 Web ACL 的描述,您可以在其中对其进行编辑。

  3. 日志记录 选项卡上,选择 禁用日志记录

  4. 在对话框中,选择 禁用日志记录