View a markdown version of this page

Shield Advanced-Angriffsflussprotokolle - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, und AWS Shield Direktor für Netzwerksicherheit
Veröffentlichung von Flow-Protokollen auf Amazon S3 aktivierenUm die Übermittlung von Flow-Protokollen zu aktivierenFlow-ProtokolldateienSyntax der Flow-Protokolldatensätze

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Shield Advanced-Angriffsflussprotokolle

Mithilfe von Flussprotokollen können Sie Informationen über den Datenverkehr erfassen, der zu Netzwerkschnittstellen in Ihren geschützten Shield Advanced-Ressourcen fließt. Flow-Protokolldaten werden in Amazon S3, Amazon CloudWatch Logs oder Amazon Data Firehose veröffentlicht, wo Sie Ihre Daten abrufen und anzeigen können, nachdem Sie Flow-Logs aktiviert haben.

Anmerkung

Sie müssen CloudWatch Metriken und Protokolle für Ressourcen anzeigen, die in Shield Advanced in der Region USA Ost (Nord-Virginia) geschützt sind, in der Konsole und bei Verwendung von AWS CLI. Wenn Sie den verwenden AWS CLI, geben Sie die Region USA Ost (Nord-Virginia) für Ihren Befehl an, indem Sie den folgenden Parameter angeben: --region us-east-1

Anmerkung

CloudWatch Log-Gebühren fallen an, wenn Sie Flow-Logs verwenden, auch wenn Logs direkt in Amazon S3 veröffentlicht werden. Weitere Informationen finden Sie unter Verkaufte Logs auf der Registerkarte Logs bei Amazon CloudWatch Pricing.

Veröffentlichung von Flow-Protokollen auf Amazon S3 aktivieren

Um Flow-Logs auf Amazon S3 zu veröffentlichen, müssen Sie IAM-Berechtigungen für die Protokollzustellungsaktionen und für den Shield-Service konfigurieren.

IAM-Berechtigungen für die Veröffentlichung von Flow-Protokollen

Ein IAM-Prinzipal, z. B. eine IAM-Rolle oder ein IAM-Benutzer, muss über ausreichende Berechtigungen verfügen, um Flow-Logs im Amazon S3 S3-Bucket zu veröffentlichen. Die IAM-Richtlinie muss die folgenden Berechtigungen beinhalten:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadWriteAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:GetDelivery",
                "logs:GetDeliverySource",
                "logs:PutDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:DeleteDeliverySource",
                "logs:PutDeliveryDestinationPolicy",
                "logs:CreateDelivery",
                "logs:GetDeliveryDestination",
                "logs:PutDeliverySource",
                "logs:DeleteDeliveryDestination",
                "logs:DeleteDeliveryDestinationPolicy",
                "logs:DeleteDelivery",
                "logs:UpdateDeliveryConfiguration"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:accountID:delivery:*",
                "arn:aws:logs:us-east-1:accountID:delivery-source:*",
                "arn:aws:logs:us-east-1:accountID:delivery-destination:*"
            ]
        },
        {
            "Sid": "ListAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeDeliveryDestinations",
                "logs:DescribeDeliverySources",
                "logs:DescribeDeliveries",
                "logs:DescribeConfigurationTemplates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUpdatesToResourcePolicyS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Ersetzen Sie dies in der vorherigen Richtlinie accountID durch Ihre AWS Konto-ID und bucket-name durch den Namen Ihres Amazon S3 S3-Buckets.

Dienstspezifische Shield-Berechtigungen

Zusätzlich zu den zielspezifischen Berechtigungen ist AWS Shield eine ausdrückliche Genehmigung erforderlich, damit Sie Protokolle von Ihren Ressourcen aus senden können. Dies bietet eine zusätzliche Sicherheitsebene. Shield autorisiert die AllowVendedLogDeliveryForResource Aktion für Schutzressourcen, die Protokolle verkaufen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ServiceLevelAccessForLogDelivery",
            "Effect": "Allow",
            "Action": [
                "shield:AllowVendedLogDeliveryForResource"
            ],
            "Resource": "arn:aws:shield::accountID:protection/*"
        }
    ]
}

Ersetze es accountID durch deine AWS Konto-ID.

Um die Übermittlung von Flow-Protokollen zu aktivieren

Eine funktionierende Protokollzustellung besteht aus drei Elementen. Gehen Sie wie folgt vor, um jedes Element mithilfe von zu konfigurieren AWS CLI.

  1. Erstellen Sie ein logisches ObjektDeliverySource, das die Ressourcen darstellt, die die Protokolle senden. Führen Sie den folgenden Befehl aus:

    aws logs put-delivery-source \
  --name delivery-source-name \
  --resource-arn "arn:aws:shield::accountID:protection/protectionID" \
  --log-type FLOW_LOGS \
  --region us-east-1

    delivery-source-nameErsetzen Sie es durch einen Namen für Ihre Lieferquelle, accountID durch Ihre AWS Konto-ID und protectionID durch Ihre Shield Advanced-Schutz-ID.

    Stellen Sie sicher, dass der Benutzer, der diesen Befehl ausgibt, über die shield:AllowVendedLogDeliveryForResource Dienstberechtigungen verfügt.

  2. Erstellen Sie ein DeliveryDestination logisches Objekt, das das tatsächliche Lieferziel darstellt. Führen Sie den folgenden Befehl aus:

    aws logs put-delivery-destination \
  --name delivery-destination-name \
  --output-format json \
  --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \
  --region us-east-1

    delivery-destination-nameErsetzen Sie es durch einen Namen für Ihr Lieferziel und bucket-name durch den Namen Ihres Amazon S3 S3-Buckets.

  3. Erstellen Sie eineDelivery, die eine Lieferquelle mit einem Lieferziel verbindet. Führen Sie den folgenden Befehl aus:

    aws logs create-delivery \
  --delivery-source-name delivery-source-name-from-step1 \
  --delivery-destination-arn "arn-returned-in-step2" \
  --region us-east-1

    delivery-source-name-from-step1Ersetzen Sie durch den Namen der Lieferquelle aus Schritt 1 und arn-returned-in-step2 durch den in Schritt 2 zurückgegebenen ARN.

Flow-Protokolldateien

Flow-Logs von Ihrem Shield-Schutz werden während eines Angriffs alle 5 Minuten in einem Amazon S3 S3-Bucket veröffentlicht. Protokolldateien werden alle fünf Minuten geschrieben, und jede Protokolldatei enthält Flow-Protokolldatensätze für den IP-Adressverkehr, der in den letzten fünf Minuten aufgezeichnet wurde.

Die maximale Dateigröße für eine Protokolldatei beträgt 75 MB. Wenn die Protokolldatei innerhalb von 5 Minuten die Dateigrößenbeschränkung erreicht, beendet das Flow-Protokoll das Hinzufügen von Flow-Protokolldatensätzen, veröffentlicht sie im Amazon S3 S3-Bucket und erstellt dann eine neue Protokolldatei.

Protokolldateien sind komprimiert. Wenn Sie die Dateien über die Amazon-S3-Konsole öffnen, dekomprimiert Amazon S3 die Protokollsätze und zeigt sie an. Wenn Sie die Protokolldateien herunterladen, müssen Sie sie dekomprimieren, um die Datensätze anzuzeigen.

Eine einzelne Protokolldatei enthält verschachtelte Einträge mit mehreren Datensätzen. Um alle Protokolldateien für einen Schutz zu sehen, suchen Sie nach Einträgen, die nach dem Schutznamen, der Region und Ihrer Konto-ID zusammengefasst sind.

Syntax der Flow-Protokolldatensätze

Ein Flow-Log-Datensatz ist eine durch Leerzeichen getrennte Zeichenfolge mit den folgenden Feldern.

Feld Description
version Versionsnummer des Flow-Protokolls.
protection_arn AWS Schutz-ARN, der die in Shield Advanced geschützte Ressource identifiziert.
srcaddr Quell-IP-Adresse des Pakets.
dstaddr Ziel-IP-Adresse des Pakets.
srcport Quellport des Pakets.
dstport Zielport des Pakets.
protocol Protokoll des Pakets.
packets Anzahl der Pakete innerhalb des Aggregationsfensters.
bytes Anzahl der Byte innerhalb des Aggregationsfensters.
starttime Startzeit des Aggregationsfensters.
endtime Endzeit des Aggregationsfensters.
action Von Shield Advanced ergriffene Maßnahme.
tcp_flags TCP kennzeichnet das Feld aus dem Paket.
sampling_rate Bei der Paketverarbeitung verwendete Samplingrate.
location AWS Ort des Eingangs.
srccountry Two-letter Ländercode, der das Land des eingehenden Datenverkehrs darstellt.