Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registros de flujo de ataques de Shield Advanced
Los registros de flujo le permiten capturar información sobre el tráfico que va a las interfaces de red de sus recursos protegidos de Shield Advanced. Los datos del registro de flujo se publican en Amazon S3, Amazon CloudWatch Logs o Amazon Data Firehose, donde puede recuperar y ver los datos una vez que haya activado los registros de flujo.
nota
Debe ver CloudWatch las métricas y los registros de los recursos protegidos en Shield Advanced en la región EE. UU. Este (Virginia del Norte), en la consola y cuando utilice la AWS CLI. Cuando utilice la AWS CLI, especifique la región EE.UU. Este (Virginia del Norte) para su comando mediante la inclusión del siguiente parámetro: --region us-east-1
nota
CloudWatch Se aplican cargos por registro cuando utiliza registros de flujo, incluso cuando los registros se publican directamente en Amazon S3. Para obtener más información, consulta Registros vendidos en la pestaña Logs de Amazon CloudWatch Pricing
Habilitación de publicación de registros de flujo en Amazon S3
Para publicar registros de flujo en Amazon S3, debe configurar los permisos de IAM para las acciones de entrega de registros y para el servicio Shield.
Permisos de IAM para publicar registros de flujo
Una entidad principal de IAM, como un rol o un usuario de IAM, debe tener permisos suficientes para publicar registros de flujo en el bucket de Amazon S3. La política de IAM debe incluir los permisos siguientes:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery", "logs:UpdateDeliveryConfiguration" ], "Resource": [ "arn:aws:logs:us-east-1:accountID:delivery:*", "arn:aws:logs:us-east-1:accountID:delivery-source:*", "arn:aws:logs:us-east-1:accountID:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeConfigurationTemplates" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } ] }
En la política anterior, accountID sustitúyalo por tu ID de AWS cuenta y bucket-name por el nombre de tu bucket de Amazon S3.
Shield permisos específicos del servicio
Además de los permisos específicos del destino, AWS Shield requiere una autorización explícita para poder enviar registros desde sus recursos. Esto proporciona un nivel de seguridad adicional. Shield autoriza la AllowVendedLogDeliveryForResource acción para los recursos de protección que venden registros:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ServiceLevelAccessForLogDelivery", "Effect": "Allow", "Action": [ "shield:AllowVendedLogDeliveryForResource" ], "Resource": "arn:aws:shield::accountID:protection/*" } ] }
accountIDSustitúyala por tu ID de AWS cuenta.
Para habilitar la entrega del registro de flujo
La entrega de un registro funcional consta de tres elementos. Utilice el siguiente procedimiento para configurar cada elemento mediante el AWS CLI.
-
Cree un
DeliverySource, que es un objeto lógico que represente los recursos que envían los registros. Use el siguiente comando:aws logs put-delivery-source \ --namedelivery-source-name\ --resource-arn "arn:aws:shield::accountID:protection/protectionID" \ --log-type FLOW_LOGS \ --region us-east-1delivery-source-nameSustitúyalo por el nombre de la fuente de entrega,accountIDel identificador de AWS cuenta yprotectionIDel identificador de protección avanzada de Shield.Asegúrese de que el usuario que ejecuta este comando tiene el permiso de nivel de servicio.
shield:AllowVendedLogDeliveryForResource -
Cree un
DeliveryDestination, que es un objeto lógico que represente el destino real de la entrega. Use el siguiente comando:aws logs put-delivery-destination \ --namedelivery-destination-name\ --output-format json \ --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \ --region us-east-1delivery-destination-nameSustitúyalo por un nombre para el destino de entrega ybucket-namepor el nombre de su bucket de Amazon S3. -
Cree un
Delivery, que conecte una fuente de entrega con un destino de entrega. Use el siguiente comando:aws logs create-delivery \ --delivery-source-namedelivery-source-name-from-step1\ --delivery-destination-arn "arn-returned-in-step2" \ --region us-east-1delivery-source-name-from-step1Sustitúyalo por el nombre de la fuente de entrega del paso 1 yarn-returned-in-step2por el ARN devuelto en el paso 2.
Archivos de registro de flujo
Los registros de flujo de su protección Shield se publican en un bucket de Amazon S3 a intervalos de 5 minutos durante un ataque. Los archivos de registro se escriben cada cinco minutos y cada archivo de registro contiene registros de flujo del tráfico de direcciones IP registrado en los cinco minutos anteriores.
El tamaño de archivo máximo de un archivo log es de 75 MB. Si el archivo de registro alcanza el límite de tamaño de archivo en el periodo de cinco minutos, el archivo de flujo deja de agregar entradas de registros de flujo a este archivo, publica el archivo en el bucket de Amazon S3 y después crea un nuevo archivo de registro.
Los archivos de registro están comprimidos. Si abre los archivos de registro con la consola de Amazon S3, se descomprimen y se muestran las entradas de registro. Si descarga los archivos de registro, debe descomprimirlos para verlos.
Un único archivo de registro contiene entradas intercaladas con varios registros. Para ver todos los archivos de registro de una protección, busque las entradas agrupadas por el nombre de la protección, la región y el ID de su cuenta.
Sintaxis de las entradas de registro de flujo
Un registro de flujo es una cadena separada por espacios con los siguientes campos.
| Campo | Description (Descripción) |
|---|---|
version |
Número de versión del registro de flujo. |
protection_arn |
AWS ARN de protección que identifica el recurso protegido en Shield Advanced. |
srcaddr |
Dirección IP de origen del paquete. |
dstaddr |
Dirección IP de destino del paquete. |
srcport |
Puerto de origen del paquete. |
dstport |
Puerto de destino del paquete. |
protocol |
Protocolo del paquete. |
packets |
Número de paquetes dentro de la ventana de agregación. |
bytes |
Número de bytes en la ventana de agregación. |
starttime |
Hora de inicio de la ventana de agregación. |
endtime |
Hora de finalización de la ventana de agregación. |
action |
Acción realizada por Shield Advanced. |
tcp_flags |
Campo de indicadores TCP del paquete. |
sampling_rate |
Frecuencia de muestreo utilizada durante el procesamiento de paquetes. |
location |
AWS Lugar de entrada. |
srccountry |
Two-letter código de país que representa el país de entrada del tráfico. |
