**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Journaux des flux d'attaques de Shield Advanced
Les journaux de flux vous permettent de capturer des informations sur le trafic destiné aux interfaces réseau dans vos ressources protégées par Shield Advanced. Les données des journaux de flux sont publiées sur Amazon S3, Amazon CloudWatch Logs ou Amazon Data Firehose, où vous pouvez récupérer et consulter vos données après avoir activé les journaux de flux.
**Note**
Vous devez consulter CloudWatch les métriques et les journaux des ressources protégées dans Shield Advanced dans la région USA Est (Virginie du Nord), dans la console et lorsque vous utilisez le AWS CLI. Lorsque vous utilisez le AWS CLI, spécifiez la région des États-Unis Est (Virginie du Nord) pour votre commande en incluant le paramètre suivant : `--region us-east-1`
**Note**
CloudWatch Des frais de journalisation s'appliquent lorsque vous utilisez des journaux de flux, même lorsque les journaux sont publiés directement sur Amazon S3. Pour plus d'informations, consultez la section Vended Logs sous l'onglet Logs d'[Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
## Activer la publication des journaux de flux sur Amazon S3
Pour publier des journaux de flux sur Amazon S3, vous devez configurer les autorisations IAM pour les actions de livraison de journaux et pour le service Shield.
### Autorisations IAM pour la publication de journaux de flux
Un principal IAM, tel qu'un rôle ou un utilisateur IAM, doit disposer d'autorisations suffisantes pour publier des journaux de flux dans le compartiment Amazon S3. La politique IAM doit inclure les autorisations suivantes :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:{{accountID}}:delivery:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-source:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
}
]
}
```
Dans la politique précédente, remplacez-le {{accountID}} par votre identifiant de AWS compte et {{bucket-name}} par le nom de votre compartiment Amazon S3.
### Autorisations spécifiques au service Shield
Outre les autorisations spécifiques à la destination, AWS Shield nécessite une autorisation explicite vous permettant d'envoyer des journaux à partir de vos ressources. Cela fournit un niveau de sécurité supplémentaire. Shield autorise l'`AllowVendedLogDeliveryForResource`action pour les ressources de protection qui vendent des journaux :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"shield:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:shield::{{accountID}}:protection/*"
}
]
}
```
{{accountID}}Remplacez-le par votre identifiant de AWS compte.
## Pour activer la livraison des journaux de flux
La livraison d'un journal de travail comprend trois éléments. Utilisez la procédure suivante pour configurer chaque élément à l'aide du AWS CLI.
1. Créez un`DeliverySource`, qui est un objet logique qui représente les ressources qui envoient les journaux. Exécutez la commande suivante :
```
aws logs put-delivery-source \
--name {{delivery-source-name}} \
--resource-arn "arn:aws:shield::{{accountID}}:protection/{{protectionID}}" \
--log-type FLOW_LOGS \
--region us-east-1
```
{{delivery-source-name}}Remplacez-le par le nom de votre source de livraison, {{accountID}} par votre identifiant de AWS compte et {{protectionID}} par votre identifiant de protection Shield Advanced.
Assurez-vous que l'utilisateur qui émet cette commande dispose de l'autorisation de niveau de service. `shield:AllowVendedLogDeliveryForResource`
1. Créez un`DeliveryDestination`, qui est un objet logique qui représente la destination de livraison réelle. Exécutez la commande suivante :
```
aws logs put-delivery-destination \
--name {{delivery-destination-name}} \
--output-format json \
--delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::{{bucket-name}}" \
--region us-east-1
```
{{delivery-destination-name}}Remplacez-le par le nom de votre destination de livraison et {{bucket-name}} par le nom de votre compartiment Amazon S3.
1. Créez un`Delivery`, qui connecte une source de livraison à une destination de livraison. Exécutez la commande suivante :
```
aws logs create-delivery \
--delivery-source-name {{delivery-source-name-from-step1}} \
--delivery-destination-arn "{{arn-returned-in-step2}}" \
--region us-east-1
```
{{delivery-source-name-from-step1}}Remplacez-le par le nom de la source de diffusion indiqué à l'étape 1 et {{arn-returned-in-step2}} par l'ARN renvoyé à l'étape 2.
## Fichiers journaux de flux
Les journaux de flux issus de votre protection Shield sont publiés dans un compartiment Amazon S3 à intervalles de 5 minutes lors d'une attaque. Les fichiers journaux sont écrits toutes les cinq minutes, et chaque fichier journal contient des enregistrements du journal de flux pour le trafic d'adresses IP enregistré au cours des cinq minutes précédentes.
La taille maximale d'un fichier journal est de 75 Mo. Si le fichier journal atteint la taille limite de fichier dans un délai de 5 minutes, le journal de flux arrête d'y ajouter des enregistrements de journal de flux, le publie dans le compartiment Amazon S3, puis crée un nouveau fichier journal.
Les fichiers journaux sont compressés. Si vous ouvrez les fichiers à l'aide de la console Amazon S3, Amazon S3 décompresse les enregistrements du journal et les affiche. Si vous téléchargez les fichiers journaux, vous devez les décompresser pour afficher les enregistrements.
Un seul fichier journal contient des entrées entrelacées avec plusieurs enregistrements. Pour consulter tous les fichiers journaux relatifs à une protection, recherchez les entrées agrégées par nom de protection, région et ID de compte.
## Syntaxe d'enregistrement du journal de flux
Un enregistrement de journal de flux est une chaîne séparée par des espaces contenant les champs suivants.
| Champ | Description |
| --- | --- |
| version | Numéro de version du journal de flux. |
| protection\_arn | AWS ARN de protection qui identifie la ressource protégée dans Shield Advanced. |
| srcaddr | Adresse IP source du paquet. |
| dstaddr | Adresse IP de destination du paquet. |
| srcport | Port source du paquet. |
| dstport | Port de destination du paquet. |
| protocol | Protocole du paquet. |
| packets | Nombre de paquets dans la fenêtre d'agrégation. |
| bytes | Nombre d'octets dans la fenêtre d'agrégation. |
| starttime | Heure de début de la fenêtre d'agrégation. |
| endtime | Heure de fin de la fenêtre d'agrégation. |
| action | Action entreprise par Shield Advanced. |
| tcp\_flags | Champ d'indicateurs TCP figurant dans le paquet. |
| sampling\_rate | Fréquence d'échantillonnage utilisée lors du traitement des paquets. |
| location | AWS emplacement d'entrée. |
| srccountry | Two-letter code de pays représentant le pays du trafic entrant. |