View a markdown version of this page

Journaux des flux d'attaques de Shield Advanced - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, et AWS Shield directeur de la sécurité réseau
Activer la publication des journaux de flux sur Amazon S3Pour activer la livraison des journaux de fluxFichiers journaux de fluxSyntaxe d'enregistrement du journal de flux

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section Utilisation de la console.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journaux des flux d'attaques de Shield Advanced

Les journaux de flux vous permettent de capturer des informations sur le trafic destiné aux interfaces réseau dans vos ressources protégées par Shield Advanced. Les données des journaux de flux sont publiées sur Amazon S3, Amazon CloudWatch Logs ou Amazon Data Firehose, où vous pouvez récupérer et consulter vos données après avoir activé les journaux de flux.

Note

Vous devez consulter CloudWatch les métriques et les journaux des ressources protégées dans Shield Advanced dans la région USA Est (Virginie du Nord), dans la console et lorsque vous utilisez le AWS CLI. Lorsque vous utilisez le AWS CLI, spécifiez la région des États-Unis Est (Virginie du Nord) pour votre commande en incluant le paramètre suivant : --region us-east-1

Note

CloudWatch Des frais de journalisation s'appliquent lorsque vous utilisez des journaux de flux, même lorsque les journaux sont publiés directement sur Amazon S3. Pour plus d'informations, consultez la section Vended Logs sous l'onglet Logs d'Amazon CloudWatch Pricing.

Activer la publication des journaux de flux sur Amazon S3

Pour publier des journaux de flux sur Amazon S3, vous devez configurer les autorisations IAM pour les actions de livraison de journaux et pour le service Shield.

Autorisations IAM pour la publication de journaux de flux

Un principal IAM, tel qu'un rôle ou un utilisateur IAM, doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le compartiment Amazon S3. La politique IAM doit inclure les autorisations suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadWriteAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:GetDelivery",
                "logs:GetDeliverySource",
                "logs:PutDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:DeleteDeliverySource",
                "logs:PutDeliveryDestinationPolicy",
                "logs:CreateDelivery",
                "logs:GetDeliveryDestination",
                "logs:PutDeliverySource",
                "logs:DeleteDeliveryDestination",
                "logs:DeleteDeliveryDestinationPolicy",
                "logs:DeleteDelivery",
                "logs:UpdateDeliveryConfiguration"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:accountID:delivery:*",
                "arn:aws:logs:us-east-1:accountID:delivery-source:*",
                "arn:aws:logs:us-east-1:accountID:delivery-destination:*"
            ]
        },
        {
            "Sid": "ListAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeDeliveryDestinations",
                "logs:DescribeDeliverySources",
                "logs:DescribeDeliveries",
                "logs:DescribeConfigurationTemplates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUpdatesToResourcePolicyS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Dans la politique précédente, remplacez-le accountID par votre identifiant de AWS compte et bucket-name par le nom de votre compartiment Amazon S3.

Autorisations spécifiques au service Shield

Outre les autorisations spécifiques à la destination, AWS Shield nécessite une autorisation explicite vous permettant d'envoyer des journaux à partir de vos ressources. Cela fournit un niveau de sécurité supplémentaire. Shield autorise l'AllowVendedLogDeliveryForResourceaction pour les ressources de protection qui vendent des journaux :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ServiceLevelAccessForLogDelivery",
            "Effect": "Allow",
            "Action": [
                "shield:AllowVendedLogDeliveryForResource"
            ],
            "Resource": "arn:aws:shield::accountID:protection/*"
        }
    ]
}

accountIDRemplacez-le par votre identifiant de AWS compte.

Pour activer la livraison des journaux de flux

La livraison d'un journal de travail comprend trois éléments. Utilisez la procédure suivante pour configurer chaque élément à l'aide du AWS CLI.

  1. Créez unDeliverySource, qui est un objet logique qui représente les ressources qui envoient les journaux. Exécutez la commande suivante :

    aws logs put-delivery-source \
  --name delivery-source-name \
  --resource-arn "arn:aws:shield::accountID:protection/protectionID" \
  --log-type FLOW_LOGS \
  --region us-east-1

    delivery-source-nameRemplacez-le par le nom de votre source de livraison, accountID par votre identifiant de AWS compte et protectionID par votre identifiant de protection Shield Advanced.

    Assurez-vous que l'utilisateur qui émet cette commande dispose de l'autorisation de niveau de service. shield:AllowVendedLogDeliveryForResource

  2. Créez unDeliveryDestination, qui est un objet logique qui représente la destination de livraison réelle. Exécutez la commande suivante :

    aws logs put-delivery-destination \
  --name delivery-destination-name \
  --output-format json \
  --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \
  --region us-east-1

    delivery-destination-nameRemplacez-le par le nom de votre destination de livraison et bucket-name par le nom de votre compartiment Amazon S3.

  3. Créez unDelivery, qui connecte une source de livraison à une destination de livraison. Exécutez la commande suivante :

    aws logs create-delivery \
  --delivery-source-name delivery-source-name-from-step1 \
  --delivery-destination-arn "arn-returned-in-step2" \
  --region us-east-1

    delivery-source-name-from-step1Remplacez-le par le nom de la source de diffusion indiqué à l'étape 1 et arn-returned-in-step2 par l'ARN renvoyé à l'étape 2.

Fichiers journaux de flux

Les journaux de flux issus de votre protection Shield sont publiés dans un compartiment Amazon S3 à intervalles de 5 minutes lors d'une attaque. Les fichiers journaux sont écrits toutes les cinq minutes, et chaque fichier journal contient des enregistrements du journal de flux pour le trafic d'adresses IP enregistré au cours des cinq minutes précédentes.

La taille maximale d'un fichier journal est de 75 Mo. Si le fichier journal atteint la taille limite de fichier dans un délai de 5 minutes, le journal de flux arrête d'y ajouter des enregistrements de journal de flux, le publie dans le compartiment Amazon S3, puis crée un nouveau fichier journal.

Les fichiers journaux sont compressés. Si vous ouvrez les fichiers à l'aide de la console Amazon S3, Amazon S3 décompresse les enregistrements du journal et les affiche. Si vous téléchargez les fichiers journaux, vous devez les décompresser pour afficher les enregistrements.

Un seul fichier journal contient des entrées entrelacées avec plusieurs enregistrements. Pour consulter tous les fichiers journaux relatifs à une protection, recherchez les entrées agrégées par nom de protection, région et ID de compte.

Syntaxe d'enregistrement du journal de flux

Un enregistrement de journal de flux est une chaîne séparée par des espaces contenant les champs suivants.

Champ Description
version Numéro de version du journal de flux.
protection_arn AWS ARN de protection qui identifie la ressource protégée dans Shield Advanced.
srcaddr Adresse IP source du paquet.
dstaddr Adresse IP de destination du paquet.
srcport Port source du paquet.
dstport Port de destination du paquet.
protocol Protocole du paquet.
packets Nombre de paquets dans la fenêtre d'agrégation.
bytes Nombre d'octets dans la fenêtre d'agrégation.
starttime Heure de début de la fenêtre d'agrégation.
endtime Heure de fin de la fenêtre d'agrégation.
action Action entreprise par Shield Advanced.
tcp_flags Champ d'indicateurs TCP figurant dans le paquet.
sampling_rate Fréquence d'échantillonnage utilisée lors du traitement des paquets.
location AWS emplacement d'entrée.
srccountry Two-letter code de pays représentant le pays du trafic entrant.