**Memperkenalkan pengalaman konsol baru untuk AWS WAF**
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Log aliran serangan Shield Advanced
Log aliran memungkinkan Anda untuk menangkap informasi tentang lalu lintas yang masuk ke antarmuka jaringan di sumber daya yang dilindungi Shield Advanced. Data log aliran dipublikasikan ke Amazon S3, Amazon CloudWatch Logs, atau Amazon Data Firehose, tempat Anda dapat mengambil dan melihat data setelah mengaktifkan flow log.
**catatan**
Anda harus melihat CloudWatch metrik dan log untuk sumber daya yang dilindungi di Shield Advanced di Wilayah AS Timur (Virginia Utara), di konsol, dan saat menggunakan. AWS CLI Saat Anda menggunakan AWS CLI, tentukan Wilayah AS Timur (Virginia N.) untuk perintah Anda dengan menyertakan parameter berikut: `--region us-east-1`
**catatan**
CloudWatch Biaya log berlaku saat Anda menggunakan log aliran, bahkan ketika log dipublikasikan langsung ke Amazon S3. Untuk informasi selengkapnya, lihat Log Terjual di bawah tab Log di [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).
## Aktifkan log alur penerbitan ke Amazon S3
Untuk memublikasikan log alur ke Amazon S3, Anda harus mengonfigurasi izin IAM untuk tindakan pengiriman log dan untuk layanan Shield.
### Izin IAM untuk menerbitkan log alur
Prinsipal IAM, seperti peran IAM atau pengguna, harus memiliki izin yang cukup untuk mempublikasikan log aliran ke bucket Amazon S3. Kebijakan IAM harus menyertakan izin berikut:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:{{accountID}}:delivery:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-source:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
}
]
}
```
Dalam kebijakan sebelumnya, ganti {{accountID}} dengan ID AWS akun Anda dan {{bucket-name}} dengan nama bucket Amazon S3 Anda.
### Izin khusus layanan Shield
Selain izin khusus tujuan, AWS Shield memerlukan otorisasi eksplisit bahwa Anda dapat mengirim log dari sumber daya Anda. Ini memberikan lapisan keamanan tambahan. Shield mengotorisasi `AllowVendedLogDeliveryForResource` tindakan untuk sumber daya perlindungan yang menjual log:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"shield:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:shield::{{accountID}}:protection/*"
}
]
}
```
Ganti {{accountID}} dengan ID AWS akun Anda.
## Untuk mengaktifkan pengiriman log aliran
Pengiriman log kerja terdiri dari tiga elemen. Gunakan prosedur berikut untuk mengkonfigurasi setiap elemen menggunakan AWS CLI.
1. Buat`DeliverySource`, yang merupakan objek logis yang mewakili sumber daya yang mengirim log. Jalankan perintah berikut:
```
aws logs put-delivery-source \
--name {{delivery-source-name}} \
--resource-arn "arn:aws:shield::{{accountID}}:protection/{{protectionID}}" \
--log-type FLOW_LOGS \
--region us-east-1
```
Ganti {{delivery-source-name}} dengan nama untuk sumber pengiriman Anda, {{accountID}} dengan ID AWS akun Anda, dan {{protectionID}} dengan ID perlindungan Shield Advanced Anda.
Pastikan bahwa pengguna yang mengeluarkan perintah ini memiliki izin tingkat layanan. `shield:AllowVendedLogDeliveryForResource`
1. Buat`DeliveryDestination`, yang merupakan objek logis yang mewakili tujuan pengiriman yang sebenarnya. Jalankan perintah berikut:
```
aws logs put-delivery-destination \
--name {{delivery-destination-name}} \
--output-format json \
--delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::{{bucket-name}}" \
--region us-east-1
```
Ganti {{delivery-destination-name}} dengan nama untuk tujuan pengiriman Anda dan {{bucket-name}} dengan nama bucket Amazon S3 Anda.
1. Buat`Delivery`, yang menghubungkan sumber pengiriman ke tujuan pengiriman. Jalankan perintah berikut:
```
aws logs create-delivery \
--delivery-source-name {{delivery-source-name-from-step1}} \
--delivery-destination-arn "{{arn-returned-in-step2}}" \
--region us-east-1
```
Ganti {{delivery-source-name-from-step1}} dengan nama sumber pengiriman dari langkah 1, dan {{arn-returned-in-step2}} dengan ARN dikembalikan pada langkah 2.
## Berkas log alur
Log aliran dari perlindungan Shield Anda dipublikasikan ke bucket Amazon S3 dengan interval 5 menit selama serangan. File log ditulis setiap lima menit, dan setiap file log berisi catatan log aliran untuk lalu lintas alamat IP yang direkam dalam lima menit sebelumnya.
Ukuran file maksimum untuk berkas log adalah 75 MB. Jika file log mencapai batas ukuran file dalam periode 5 menit, log alur berhenti menambahkan catatan log alur ke dalamnya, menerbitkannya ke bucket Amazon S3, dan kemudian membuat file log baru.
File log dikompresi. Jika Anda membuka file menggunakan konsol Amazon S3, Amazon S3 mendekompresi catatan log dan menampilkannya. Jika Anda mengunduh file log, Anda harus mendekompresnya untuk melihat catatan.
Sebuah file log tunggal berisi entri yang disisipkan dengan beberapa catatan. Untuk melihat semua file log untuk perlindungan, cari entri yang dikumpulkan berdasarkan nama perlindungan, Wilayah, dan ID akun Anda.
## Sintaks catatan log aliran
Catatan log aliran adalah string yang dipisahkan ruang dengan bidang berikut.
| Bidang | Deskripsi |
| --- | --- |
| version | Nomor versi log aliran. |
| protection\_arn | AWS perlindungan ARN yang mengidentifikasi sumber daya yang dilindungi di Shield Advanced. |
| srcaddr | Alamat IP sumber paket. |
| dstaddr | Alamat IP tujuan paket. |
| srcport | Port sumber paket. |
| dstport | Port tujuan paket. |
| protocol | Protokol paket. |
| packets | Jumlah paket dalam jendela agregasi. |
| bytes | Jumlah byte dalam jendela agregasi. |
| starttime | Waktu mulai jendela agregasi. |
| endtime | Waktu akhir jendela agregasi. |
| action | Tindakan yang diambil oleh Shield Advanced. |
| tcp\_flags | Bidang bendera TCP dari paket. |
| sampling\_rate | Sampling rate yang digunakan selama pemrosesan paket. |
| location | AWS lokasi masuknya. |
| srccountry | Two-letter kode negara yang mewakili negara lalu lintas masuk. |