本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 简单存储服务存储桶
本主题提供有关将 Web ACL 流量日志发送到 Amazon S3 存储桶的信息。
注意
除了 Amazon WAF使用费用外,您还需要支付登录费用。有关信息,请参阅 记录 Web ACL 流量信息的定价。
要将您的 Web ACL 流量日志发送到 Amazon S3,您需要使用与管理Web ACL 相同的账户设置一个 Amazon S3 存储桶,并以 aws-waf-logs- 开头命名该存储桶。启用登录功能时 Amazon WAF,您需要提供存储桶名称。有关创建日志记录桶的信息,请参阅 Amazon Simple Storage Service 用户指南中的创建桶。
您可以使用Amazon Athena 交互式查询服务访问和分析您的 Amazon S3 日志。Athena 可让您轻松地使用标准 SQL 直接分析 Amazon S3 中的数据。只需在中执行一些操作 Amazon Web Services Management Console,您就可以将 Athena 指向存储在 Amazon S3 中的数据,然后快速开始使用标准 SQL 来运行临时查询并获得结果。有关更多信息,请参阅 Amazon Athen a 用户指南中的查询 Amazon WAF 日志。
注意
Amazon WAF 支持使用亚马逊 S3 存储桶对密钥类型亚马逊 S3 密钥 (SSE-S3) 和 Amazon Key Management Service (SSE-KMS) 进行加密。 Amazon KMS keys Amazon WAF 不支持对由管理的 Amazon Key Management Service 密钥进行加密 Amazon。
您的Web ACL 每隔 5 分钟将日志文件发布到 Amazon S3 存储桶。每个日志文件都包含前 5 分钟记录的流量日志记录。
日志文件的最大文件大小为 75 MB。如果日志文件在 5 分钟期间内达到文件大小限制,流日志会停止向它添加流日志记录,将它发布到 Amazon S3 存储桶,然后创建一个新的日志文件。
日志文件是压缩文件。如果使用 Amazon S3 控制台打开文件,Amazon S3 会解压日志记录并显示它们。如果您下载日志文件,则必须对其进行解压才能查看记录。
单个日志文件包含包含多条记录的交错条目。要查看 Web ACL 的所有日志文件,请查找按 Web ACL 名称、区域和您的账户 ID 汇总的条目。
命名要求和语法
用于 Amazon WAF 记录的存储桶名称必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。例如,aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX。
存储桶位置
存储桶位置使用以下语法:
s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/
存储桶 ARN
存储桶的 Amazon 资源名称(ARN) 格式如下:
arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX
带有前缀的存储桶位置
如果您在对象键名称中使用前缀来组织存储在存储桶中的数据,则可以在日志存储桶名称中提供前缀。
注意
此选项在控制台中不可用。使用 Amazon WAF API、CLI 或 Amazon CloudFormation。
有关在 Amazon S3 中使用前缀的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用前缀组织对象。
带有前缀的存储桶位置使用以下语法:
s3://aws-waf-logs-DOC-EXAMPLE-BUCKET-SUFFIX/DOC-EXAMPLE-KEY-NAME-PREFIX/
存储桶文件夹和文件名
在您的存储桶中,按照您提供的任何前缀,您的 Amazon WAF 日志将写入一个文件夹结构,该结构由您的账户 ID、区域、Web ACL 名称以及日期和时间决定。
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
在文件夹中,日志文件名遵循类似的格式:
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
文件夹结构和日志文件名中使用的时间规范符合时间戳格式规范 YYYYMMddTHHmmZ。
下面显示了 Amazon S3 存储桶中名为 DOC-EXAMPLE-BUCKET 的存储桶的示例日志文件。那 Amazon Web Services 账户 是11111111111。Web ACL 是 TEST-WEBACL,区域是 us-east-1。
s3://DOC-EXAMPLE-BUCKET/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
注意
用于 Amazon WAF 记录的存储桶名称必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。
向 Amazon S3 存储桶发布日志的所需的权限
为 Amazon S3 存储桶配置 Web ACL 流量日志需要以下权限设置。这些权限是在您使用 Amazon WAF 完全访问托管策略 AWSWAFConsoleFullAccess 或 AWSWAFFullAccess 时为您设置的,。如果您想更精细地管理对日志和 Amazon WAF 资源的访问权限,则可以自己设置这些权限。有关管理权限的信息,请参阅IAM 用户指南中的 Amazon
资源的访问权限管理。有关 Amazon WAF 托管策略的信息,请参阅Amazon 的托管策略 Amazon WAF。
以下权限允许您更改 Web ACL 日志配置和配置向 Amazon S3 存储桶的日志传输。这些权限必须附加到您用来管理 Amazon WAF的用户。
注意
当你设置下面列出的权限时,你可能会在 Amazon CloudTrail 日志中看到错误,表明访问被拒绝,但 Amazon WAF 记录权限是正确的。
{ "Version":"2012-10-17", "Statement":[ { "Action":[ "wafv2:PutLoggingConfiguration", "wafv2:DeleteLoggingConfiguration" ], "Resource":[ "*" ], "Effect":"Allow", "Sid":"LoggingConfigurationAPI" }, { "Sid":"WebACLLogDelivery", "Action":[ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*", "Effect":"Allow" }, { "Sid":"WebACLLoggingS3", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": [ "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET" ], "Effect":"Allow" } ] }
如果允许对所有 Amazon 资源执行操作,则会在策略中以"Resource"设置为"*"。这意味着允许对每个操作支持的所有 Amazon 资源执行这些操作。例如,只有 wafv2 日志记录配置资源支持操作 wafv2:PutLoggingConfiguration。
默认情况下,Amazon S3 存储桶以及其中包含的对象都是私有的。只有存储桶拥有者才能访问存储桶和其中存储的对象。不过,存储桶拥有者可以通过编写访问策略来向其他资源和用户授予访问权限。
如果创建日志的用户拥有存储桶,服务会自动向存储桶附加以下策略,以授予日志将日志发布到存储桶的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/AWSLogs/account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET", "Condition": { "StringEquals": { "aws:SourceAccount": ["account-id"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:region:account-id:*"] } } } ] }
注意
用于 Amazon WAF 记录的存储桶名称必须以您想要的任何后缀开头,aws-waf-logs-并且可以以任何后缀结尾。
如果创建日志的用户不拥有存储桶,也没有存储桶的 GetBucketPolicy 和 PutBucketPolicy 权限,日志创建操作会失败。在这种情况下,存储桶拥有者必须手动将上述策略添加到存储桶,并指定日志创建者的 Amazon Web Services 账户 ID。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南 中的如何添加 S3 存储桶策略? 如果存储桶从多个账户接收日志,则将 Resource 元素条目添加到每个账户的 AWSLogDeliveryWrite 策略语句。
例如,以下存储桶策略允许 Amazon Web Services 账户
111122223333向名为的存储桶发布日志aws-waf-logs-:DOC-EXAMPLE-BUCKET
{ "Version": "2012-10-17", "Id": "AWSLogDeliveryWrite20150319", "Statement": [ { "Sid": "AWSLogDeliveryWrite", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/AWSLogs/111122223333/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } }, { "Sid": "AWSLogDeliveryAclCheck", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET", "Condition": { "StringEquals": { "aws:SourceAccount": ["111122223333"] }, "ArnLike": { "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"] } } } ] }
使用 Amazon Key Management Service KMS 密钥的权限
如果您的登录目标使用服务器端加密,密钥存储在 Amazon Key Management Service (SSE-KMS) 中,并且您使用客户托管密钥(KMS 密钥),则必须授予使用您的 KMS 密钥的 Amazon WAF 权限。为此,您需要为所选目标的 KMS 密钥添加密钥政策。这允许 Amazon WAF 日志记录将您的日志文件写入您的目标。
将以下密钥策略添加到您的 KMS 密钥中,以允许登录 Amazon WAF 到您的 Amazon S3 存储桶。
{ "Sid": "Allow Amazon WAF to use the key", "Effect": "Allow", "Principal": { "Service": [ "delivery.logs.amazonaws.com" ] }, "Action": "kms:GenerateDataKey*", "Resource": "*" }
访问 Amazon S3 日志文件所需的权限
Amazon S3 使用访问控制列表 (ACL) 管理对 Amazon WAF
日志创建的日志文件的访问。默认情况下,存储桶拥有者对每个日志文件具有 FULL_CONTROL 权限。如果日志传输拥有者与存储桶拥有者不同,则没有权限。日志传输账户具有 READ 和 WRITE 权限。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南 中的访问控制列表 (ACL) 概述。