AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment activer la journalisation AWS WAF et envoyer les journaux vers CloudWatch, Amazon S3 ou Firehose ?

Lecture de 5 minute(s)

Je souhaite activer la journalisation AWS WAF et envoyer les journaux vers Amazon CloudWatch, Amazon Simple Storage Service (Amazon S3) ou vers Amazon Data Firehose.

Brève description

Tout d'abord, choisissez une destination prise en charge pour votre liste de contrôle d'accès Web (ACL Web) AWS WAF. Vous devez configurer les autorisations nécessaires pour activer les journaux AWS WAF. AWS WAF prend en charge les destinations de journaux suivantes :

Puis, activez les journaux AWS WAF pour votre destination.

Résolution

Prérequis :

Les noms des groupes de journaux doivent commencer par le préfixe aws-waf-logs-.
Les groupes de journaux doivent se trouver dans le même compte AWS et dans la même région AWS que votre ACL Web. Pour les ACL Web globales que vous associez à Amazon CloudFront, le groupe de journaux doit se trouver dans la région USA Est (Virginie du Nord).
Consultez les groupes de journaux CloudWatch Logs et les quotas Firehose que vous devez respecter.

Configurer les autorisations pour un groupe de journaux CloudWatch Logs

Créez un groupe de journaux ou utilisez un groupe de journaux existant. Utilisez CloudWatch Logs Insights pour analyser vos journaux AWS WAF.

Utilisez le format Region_web-acl-name_log-stream-number pour les flux de journaux que vous créez dans des groupes de journaux.

Configurez les autorisations requises pour publier des journaux dans CloudWatch Logs. Lorsque votre utilisateur dispose des autorisations requises, CloudWatch ajoute automatiquement la politique basée sur les ressources suivante au groupe de journaux qui permet à AWS WAF de lui envoyer des journaux :

{
  "Version": "2012-10-17",  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite20150319",
      "Effect": "Allow",
      "Principal": {
        "Service": ["delivery.logs.amazonaws.com"]
      },
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": ["arn:aws:logs:us-east-1:0123456789:log-group:my-log-group:log-stream:*"],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": ["0123456789"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
        }
      }
    }
  ]
}

Remarque : Remplacez SourceAccount par votre numéro de compte et SourceARN par votre Amazon Resource Name (ARN).

Si aucun journal n'apparaît dans votre groupe de journaux, utilisez l'API DescribeResourcePolicies pour vérifier que la politique basée sur les ressources dispose des autorisations nécessaires. Pour modifier votre politique basée sur les ressources, utilisez l'API PutResourcePolicy.

Pour plus d'informations sur les autorisations de journalisation, consultez la section Activer la journalisation à partir des services AWS.

Configurer les autorisations pour un compartiment Amazon S3

Lorsque vous envoyez des journaux AWS WAF vers un compartiment S3, vous pouvez utiliser Amazon Athena pour analyser vos journaux AWS WAF.

Configurez les autorisations requises pour publier des journaux dans un compartiment S3. Lorsque votre utilisateur dispose des autorisations requises, AWS ajoute automatiquement la politique suivante au compartiment qui permet à AWS WAF de lui transmettre des journaux :

{
  "Version": "2012-10-17",  "Id": "AWSLogDeliveryWrite20150319",
  "Statement": [
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::my-bucket",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": ["0123456789"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::my-bucket/AWSLogs/account-ID/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["0123456789"]
        },
        "ArnLike": {
          "aws:SourceArn": ["arn:aws:logs:us-east-1:0123456789:*"]
        }
      }
    }
  ]
}

Remarque : Remplacez SourceAccount par votre numéro de compte et SourceARN par votre ARN.

Si les journaux ne figurent pas dans votre compartiment, utilisez l'API GetBucketPolicy pour vérifier que votre politique de compartiment dispose des autorisations nécessaires. Pour modifier votre politique de compartiment, utilisez l'API PutBucketPolicy.

Pour envoyer des journaux vers un autre compte ou une autre région, consultez la section Comment puis-je envoyer des journaux AWS WAF vers un compartiment Amazon S3 dans un compte de journalisation centralisé ?

Configurer les autorisations pour Firehose

Configurez un flux de diffusion Firehose. Gardez les options Transformation de données et Conversion du format d'enregistrement désactivées. Pour configurer une destination pour le flux de diffusion, consultez la section Configurer les paramètres de destination. Pour plus d'informations, consultez la section Créer un flux Firehose depuis la console.

Remarque : Un journal AWS WAF équivaut à un enregistrement Firehose.

Configurez les autorisations requises pour publier des journaux dans un flux de diffusion Firehose. Pour plus d'informations sur les rôles liés à un service et sur l'autorisation iam:CreateServiceLinkedRole, consultez la section Utilisation de rôles liés à un service pour AWS WAF.

Activer les journaux AWS WAF

Procédez comme suit :

Ouvrez la console AWS WAF.
Dans le volet de navigation, sous AWS WAF, sélectionnez Ressources et packs de protection.
Recherchez votre pack de protection et choisissez Afficher et modifier en regard de Règles.
Sous Journalisation, sélectionnez Activer.
Choisissez Destination de journalisation.
Dans le volet droit de la section Destination de journalisation, choisissez votre destination.
Dans Champs expurgés, sélectionnez les champs que vous souhaitez exclure des journaux.
Dans Journaux de filtres, ajoutez des filtres pour les requêtes que vous souhaitez stocker.
Sélectionnez Enregistrer.

Sujets: Security, Identity, & Compliance
Balises: AWS WAF
Langue: Français

Vidéos associées

Regarder la vidéo de Birant pour en savoir plus (8:11)

AWS OFFICIELA mis à jour il y a 6 mois

Aucun commentaire

Contenus pertinents

Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 2 ans
Facturation AWS WAF sans Web ACL visible
rePost-User-0347288
demandé il y a un an
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Besoin de conseils d’architecture pour application de visioconférence
Nayyar
demandé il y a 4 mois
Comment supprimer des factures la ligne "Amazon Simple Storage Service Requests-Tier1"
rePost-User-5283584
demandé il y a un an
Comment envoyer les journaux AWS WAF vers un compartiment Amazon S3 via un compte de journalisation centralisé ?
AWS OFFICIELA mis à jour il y a 3 ans
Pourquoi mes journaux AWS WAF ne sont-ils pas publiés vers la destination que j'ai configurée ?
AWS OFFICIELA mis à jour il y a 5 ans
Comment activer le filtrage des journaux dans AWS WAF ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment activer la journalisation pour ma distribution CloudFront ?
AWS OFFICIELA mis à jour il y a 6 mois