View a markdown version of this page

Log aliran serangan Shield Advanced - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, dan AWS Shield direktur keamanan jaringan
Aktifkan log alur penerbitan ke Amazon S3Untuk mengaktifkan pengiriman log aliranBerkas log alurSintaks catatan log aliran

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan konsol.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Log aliran serangan Shield Advanced

Log aliran memungkinkan Anda untuk menangkap informasi tentang lalu lintas yang masuk ke antarmuka jaringan di sumber daya yang dilindungi Shield Advanced. Data log aliran dipublikasikan ke Amazon S3, Amazon CloudWatch Logs, atau Amazon Data Firehose, tempat Anda dapat mengambil dan melihat data setelah mengaktifkan flow log.

catatan

Anda harus melihat CloudWatch metrik dan log untuk sumber daya yang dilindungi di Shield Advanced di Wilayah AS Timur (Virginia Utara), di konsol, dan saat menggunakan. AWS CLI Saat Anda menggunakan AWS CLI, tentukan Wilayah AS Timur (Virginia N.) untuk perintah Anda dengan menyertakan parameter berikut: --region us-east-1

catatan

CloudWatch Biaya log berlaku saat Anda menggunakan log aliran, bahkan ketika log dipublikasikan langsung ke Amazon S3. Untuk informasi selengkapnya, lihat Log Terjual di bawah tab Log di CloudWatch Harga Amazon.

Aktifkan log alur penerbitan ke Amazon S3

Untuk memublikasikan log alur ke Amazon S3, Anda harus mengonfigurasi izin IAM untuk tindakan pengiriman log dan untuk layanan Shield.

Izin IAM untuk menerbitkan log alur

Prinsipal IAM, seperti peran IAM atau pengguna, harus memiliki izin yang cukup untuk mempublikasikan log aliran ke bucket Amazon S3. Kebijakan IAM harus menyertakan izin berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadWriteAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:GetDelivery",
                "logs:GetDeliverySource",
                "logs:PutDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:DeleteDeliverySource",
                "logs:PutDeliveryDestinationPolicy",
                "logs:CreateDelivery",
                "logs:GetDeliveryDestination",
                "logs:PutDeliverySource",
                "logs:DeleteDeliveryDestination",
                "logs:DeleteDeliveryDestinationPolicy",
                "logs:DeleteDelivery",
                "logs:UpdateDeliveryConfiguration"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:accountID:delivery:*",
                "arn:aws:logs:us-east-1:accountID:delivery-source:*",
                "arn:aws:logs:us-east-1:accountID:delivery-destination:*"
            ]
        },
        {
            "Sid": "ListAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeDeliveryDestinations",
                "logs:DescribeDeliverySources",
                "logs:DescribeDeliveries",
                "logs:DescribeConfigurationTemplates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUpdatesToResourcePolicyS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Dalam kebijakan sebelumnya, ganti accountID dengan ID AWS akun Anda dan bucket-name dengan nama bucket Amazon S3 Anda.

Izin khusus layanan Shield

Selain izin khusus tujuan, AWS Shield memerlukan otorisasi eksplisit bahwa Anda dapat mengirim log dari sumber daya Anda. Ini memberikan lapisan keamanan tambahan. Shield mengotorisasi AllowVendedLogDeliveryForResource tindakan untuk sumber daya perlindungan yang menjual log:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ServiceLevelAccessForLogDelivery",
            "Effect": "Allow",
            "Action": [
                "shield:AllowVendedLogDeliveryForResource"
            ],
            "Resource": "arn:aws:shield::accountID:protection/*"
        }
    ]
}

Ganti accountID dengan ID AWS akun Anda.

Untuk mengaktifkan pengiriman log aliran

Pengiriman log kerja terdiri dari tiga elemen. Gunakan prosedur berikut untuk mengkonfigurasi setiap elemen menggunakan AWS CLI.

  1. BuatDeliverySource, yang merupakan objek logis yang mewakili sumber daya yang mengirim log. Jalankan perintah berikut:

    aws logs put-delivery-source \
  --name delivery-source-name \
  --resource-arn "arn:aws:shield::accountID:protection/protectionID" \
  --log-type FLOW_LOGS \
  --region us-east-1

    Ganti delivery-source-name dengan nama untuk sumber pengiriman Anda, accountID dengan ID AWS akun Anda, dan protectionID dengan ID perlindungan Shield Advanced Anda.

    Pastikan bahwa pengguna yang mengeluarkan perintah ini memiliki izin tingkat layanan. shield:AllowVendedLogDeliveryForResource

  2. BuatDeliveryDestination, yang merupakan objek logis yang mewakili tujuan pengiriman yang sebenarnya. Jalankan perintah berikut:

    aws logs put-delivery-destination \
  --name delivery-destination-name \
  --output-format json \
  --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \
  --region us-east-1

    Ganti delivery-destination-name dengan nama untuk tujuan pengiriman Anda dan bucket-name dengan nama bucket Amazon S3 Anda.

  3. BuatDelivery, yang menghubungkan sumber pengiriman ke tujuan pengiriman. Jalankan perintah berikut:

    aws logs create-delivery \
  --delivery-source-name delivery-source-name-from-step1 \
  --delivery-destination-arn "arn-returned-in-step2" \
  --region us-east-1

    Ganti delivery-source-name-from-step1 dengan nama sumber pengiriman dari langkah 1, dan arn-returned-in-step2 dengan ARN dikembalikan pada langkah 2.

Berkas log alur

Log aliran dari perlindungan Shield Anda dipublikasikan ke bucket Amazon S3 dengan interval 5 menit selama serangan. File log ditulis setiap lima menit, dan setiap file log berisi catatan log aliran untuk lalu lintas alamat IP yang direkam dalam lima menit sebelumnya.

Ukuran file maksimum untuk berkas log adalah 75 MB. Jika file log mencapai batas ukuran file dalam periode 5 menit, log alur berhenti menambahkan catatan log alur ke dalamnya, menerbitkannya ke bucket Amazon S3, dan kemudian membuat file log baru.

File log dikompresi. Jika Anda membuka file menggunakan konsol Amazon S3, Amazon S3 mendekompresi catatan log dan menampilkannya. Jika Anda mengunduh file log, Anda harus mendekompresnya untuk melihat catatan.

Sebuah file log tunggal berisi entri yang disisipkan dengan beberapa catatan. Untuk melihat semua file log untuk perlindungan, cari entri yang dikumpulkan berdasarkan nama perlindungan, Wilayah, dan ID akun Anda.

Sintaks catatan log aliran

Catatan log aliran adalah string yang dipisahkan ruang dengan bidang berikut.

Bidang Deskripsi
version Nomor versi log aliran.
protection_arn AWS perlindungan ARN yang mengidentifikasi sumber daya yang dilindungi di Shield Advanced.
srcaddr Alamat IP sumber paket.
dstaddr Alamat IP tujuan paket.
srcport Port sumber paket.
dstport Port tujuan paket.
protocol Protokol paket.
packets Jumlah paket dalam jendela agregasi.
bytes Jumlah byte dalam jendela agregasi.
starttime Waktu mulai jendela agregasi.
endtime Waktu akhir jendela agregasi.
action Tindakan yang diambil oleh Shield Advanced.
tcp_flags Bidang bendera TCP dari paket.
sampling_rate Sampling rate yang digunakan selama pemrosesan paket.
location AWS lokasi masuknya.
srccountry Two-letter kode negara yang mewakili negara lalu lintas masuk.