**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Shield Advanced-Angriffsflussprotokolle
Mithilfe von Flussprotokollen können Sie Informationen über den Datenverkehr erfassen, der zu Netzwerkschnittstellen in Ihren geschützten Shield Advanced-Ressourcen fließt. Flow-Protokolldaten werden in Amazon S3, Amazon CloudWatch Logs oder Amazon Data Firehose veröffentlicht, wo Sie Ihre Daten abrufen und anzeigen können, nachdem Sie Flow-Logs aktiviert haben.
**Anmerkung**
Sie müssen CloudWatch Metriken und Protokolle für Ressourcen anzeigen, die in Shield Advanced in der Region USA Ost (Nord-Virginia) geschützt sind, in der Konsole und bei Verwendung von AWS CLI. Wenn Sie den verwenden AWS CLI, geben Sie die Region USA Ost (Nord-Virginia) für Ihren Befehl an, indem Sie den folgenden Parameter angeben: `--region us-east-1`
**Anmerkung**
CloudWatch Log-Gebühren fallen an, wenn Sie Flow-Logs verwenden, auch wenn Logs direkt in Amazon S3 veröffentlicht werden. Weitere Informationen finden Sie unter Verkaufte Logs auf der Registerkarte Logs bei [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
## Veröffentlichung von Flow-Protokollen auf Amazon S3 aktivieren
Um Flow-Logs auf Amazon S3 zu veröffentlichen, müssen Sie IAM-Berechtigungen für die Protokollzustellungsaktionen und für den Shield-Service konfigurieren.
### IAM-Berechtigungen für die Veröffentlichung von Flow-Protokollen
Ein IAM-Prinzipal, z. B. eine IAM-Rolle oder ein IAM-Benutzer, muss über ausreichende Berechtigungen verfügen, um Flow-Logs im Amazon S3 S3-Bucket zu veröffentlichen. Die IAM-Richtlinie muss die folgenden Berechtigungen beinhalten:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:{{accountID}}:delivery:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-source:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
}
]
}
```
Ersetzen Sie dies in der vorherigen Richtlinie {{accountID}} durch Ihre AWS Konto-ID und {{bucket-name}} durch den Namen Ihres Amazon S3 S3-Buckets.
### Dienstspezifische Shield-Berechtigungen
Zusätzlich zu den zielspezifischen Berechtigungen ist AWS Shield eine ausdrückliche Genehmigung erforderlich, damit Sie Protokolle von Ihren Ressourcen aus senden können. Dies bietet eine zusätzliche Sicherheitsebene. Shield autorisiert die `AllowVendedLogDeliveryForResource` Aktion für Schutzressourcen, die Protokolle verkaufen:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"shield:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:shield::{{accountID}}:protection/*"
}
]
}
```
Ersetze es {{accountID}} durch deine AWS Konto-ID.
## Um die Übermittlung von Flow-Protokollen zu aktivieren
Eine funktionierende Protokollzustellung besteht aus drei Elementen. Gehen Sie wie folgt vor, um jedes Element mithilfe von zu konfigurieren AWS CLI.
1. Erstellen Sie ein logisches Objekt`DeliverySource`, das die Ressourcen darstellt, die die Protokolle senden. Führen Sie den folgenden Befehl aus:
```
aws logs put-delivery-source \
--name {{delivery-source-name}} \
--resource-arn "arn:aws:shield::{{accountID}}:protection/{{protectionID}}" \
--log-type FLOW_LOGS \
--region us-east-1
```
{{delivery-source-name}}Ersetzen Sie es durch einen Namen für Ihre Lieferquelle, {{accountID}} durch Ihre AWS Konto-ID und {{protectionID}} durch Ihre Shield Advanced-Schutz-ID.
Stellen Sie sicher, dass der Benutzer, der diesen Befehl ausgibt, über die `shield:AllowVendedLogDeliveryForResource` Dienstberechtigungen verfügt.
1. Erstellen Sie ein `DeliveryDestination` logisches Objekt, das das tatsächliche Lieferziel darstellt. Führen Sie den folgenden Befehl aus:
```
aws logs put-delivery-destination \
--name {{delivery-destination-name}} \
--output-format json \
--delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::{{bucket-name}}" \
--region us-east-1
```
{{delivery-destination-name}}Ersetzen Sie es durch einen Namen für Ihr Lieferziel und {{bucket-name}} durch den Namen Ihres Amazon S3 S3-Buckets.
1. Erstellen Sie eine`Delivery`, die eine Lieferquelle mit einem Lieferziel verbindet. Führen Sie den folgenden Befehl aus:
```
aws logs create-delivery \
--delivery-source-name {{delivery-source-name-from-step1}} \
--delivery-destination-arn "{{arn-returned-in-step2}}" \
--region us-east-1
```
{{delivery-source-name-from-step1}}Ersetzen Sie durch den Namen der Lieferquelle aus Schritt 1 und {{arn-returned-in-step2}} durch den in Schritt 2 zurückgegebenen ARN.
## Flow-Protokolldateien
Flow-Logs von Ihrem Shield-Schutz werden während eines Angriffs alle 5 Minuten in einem Amazon S3 S3-Bucket veröffentlicht. Protokolldateien werden alle fünf Minuten geschrieben, und jede Protokolldatei enthält Flow-Protokolldatensätze für den IP-Adressverkehr, der in den letzten fünf Minuten aufgezeichnet wurde.
Die maximale Dateigröße für eine Protokolldatei beträgt 75 MB. Wenn die Protokolldatei innerhalb von 5 Minuten die Dateigrößenbeschränkung erreicht, beendet das Flow-Protokoll das Hinzufügen von Flow-Protokolldatensätzen, veröffentlicht sie im Amazon S3 S3-Bucket und erstellt dann eine neue Protokolldatei.
Protokolldateien sind komprimiert. Wenn Sie die Dateien über die Amazon-S3-Konsole öffnen, dekomprimiert Amazon S3 die Protokollsätze und zeigt sie an. Wenn Sie die Protokolldateien herunterladen, müssen Sie sie dekomprimieren, um die Datensätze anzuzeigen.
Eine einzelne Protokolldatei enthält verschachtelte Einträge mit mehreren Datensätzen. Um alle Protokolldateien für einen Schutz zu sehen, suchen Sie nach Einträgen, die nach dem Schutznamen, der Region und Ihrer Konto-ID zusammengefasst sind.
## Syntax der Flow-Protokolldatensätze
Ein Flow-Log-Datensatz ist eine durch Leerzeichen getrennte Zeichenfolge mit den folgenden Feldern.
| Feld | Description |
| --- | --- |
| version | Versionsnummer des Flow-Protokolls. |
| protection\_arn | AWS Schutz-ARN, der die in Shield Advanced geschützte Ressource identifiziert. |
| srcaddr | Quell-IP-Adresse des Pakets. |
| dstaddr | Ziel-IP-Adresse des Pakets. |
| srcport | Quellport des Pakets. |
| dstport | Zielport des Pakets. |
| protocol | Protokoll des Pakets. |
| packets | Anzahl der Pakete innerhalb des Aggregationsfensters. |
| bytes | Anzahl der Byte innerhalb des Aggregationsfensters. |
| starttime | Startzeit des Aggregationsfensters. |
| endtime | Endzeit des Aggregationsfensters. |
| action | Von Shield Advanced ergriffene Maßnahme. |
| tcp\_flags | TCP kennzeichnet das Feld aus dem Paket. |
| sampling\_rate | Bei der Paketverarbeitung verwendete Samplingrate. |
| location | AWS Ort des Eingangs. |
| srccountry | Two-letter Ländercode, der das Land des eingehenden Datenverkehrs darstellt. |