View a markdown version of this page

Registri del flusso di attacco Shield Advanced - AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield direttore della sicurezza di rete
Abilita la pubblicazione dei log di flusso su Amazon S3Per abilitare la consegna dei log di flussoFile di log di flussoSintassi dei record di log di flusso

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registri del flusso di attacco Shield Advanced

I log di flusso consentono di acquisire informazioni sul traffico diretto alle interfacce di rete nelle risorse protette Shield Advanced. I dati dei log di flusso vengono pubblicati su Amazon S3, Amazon CloudWatch Logs o Amazon Data Firehose, dove puoi recuperare e visualizzare i dati dopo aver abilitato i log di flusso.

Nota

È necessario visualizzare le CloudWatch metriche e i log per le risorse protette in Shield Advanced nella regione Stati Uniti orientali (Virginia settentrionale), nella console e quando si utilizza il. AWS CLI Quando utilizzi la AWS CLI, specifica la regione Stati Uniti orientali (Virginia settentrionale) per il comando includendo il seguente parametro: --region us-east-1

Nota

CloudWatch I costi di log si applicano quando si utilizzano i log di flusso, anche quando i log vengono pubblicati direttamente su Amazon S3. Per ulteriori informazioni, consulta Vending Logs nella scheda Logs di Amazon Pricing. CloudWatch

Abilita la pubblicazione dei log di flusso su Amazon S3

Per pubblicare i log di flusso su Amazon S3, devi configurare le autorizzazioni IAM per le azioni di consegna dei log e per il servizio Shield.

Autorizzazioni IAM per la pubblicazione dei log di flusso

Un principale IAM, ad esempio un ruolo o un utente IAM, deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel bucket Amazon S3. La policy IAM deve includere le seguenti autorizzazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadWriteAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:GetDelivery",
                "logs:GetDeliverySource",
                "logs:PutDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:DeleteDeliverySource",
                "logs:PutDeliveryDestinationPolicy",
                "logs:CreateDelivery",
                "logs:GetDeliveryDestination",
                "logs:PutDeliverySource",
                "logs:DeleteDeliveryDestination",
                "logs:DeleteDeliveryDestinationPolicy",
                "logs:DeleteDelivery",
                "logs:UpdateDeliveryConfiguration"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:accountID:delivery:*",
                "arn:aws:logs:us-east-1:accountID:delivery-source:*",
                "arn:aws:logs:us-east-1:accountID:delivery-destination:*"
            ]
        },
        {
            "Sid": "ListAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeDeliveryDestinations",
                "logs:DescribeDeliverySources",
                "logs:DescribeDeliveries",
                "logs:DescribeConfigurationTemplates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUpdatesToResourcePolicyS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Nella politica precedente, sostituiscilo accountID con l'ID del tuo AWS account e bucket-name con il nome del tuo bucket Amazon S3.

Autorizzazioni specifiche del servizio Shield

Oltre alle autorizzazioni specifiche della destinazione, AWS Shield richiede un'autorizzazione esplicita per l'invio dei log dalle tue risorse. Ciò fornisce un ulteriore livello di sicurezza. Shield autorizza l'AllowVendedLogDeliveryForResourceazione per le risorse di protezione che vend logs:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ServiceLevelAccessForLogDelivery",
            "Effect": "Allow",
            "Action": [
                "shield:AllowVendedLogDeliveryForResource"
            ],
            "Resource": "arn:aws:shield::accountID:protection/*"
        }
    ]
}

Sostituiscilo accountID con l'ID del tuo account. AWS

Per abilitare la consegna dei log di flusso

La consegna di un log funzionante è composta da tre elementi. Utilizzare la procedura seguente per configurare ogni elemento utilizzando AWS CLI.

  1. Crea unDeliverySource, che è un oggetto logico che rappresenta le risorse che inviano i log. Esegui il comando seguente:

    aws logs put-delivery-source \
  --name delivery-source-name \
  --resource-arn "arn:aws:shield::accountID:protection/protectionID" \
  --log-type FLOW_LOGS \
  --region us-east-1

    Sostituiscilo delivery-source-name con un nome per la fonte di spedizione, accountID con l'ID del tuo AWS account e protectionID con il tuo ID di protezione Shield Advanced.

    Assicurati che l'utente che emette questo comando disponga dell'autorizzazione a livello di servizio. shield:AllowVendedLogDeliveryForResource

  2. Crea unDeliveryDestination, che è un oggetto logico che rappresenta l'effettiva destinazione di consegna. Esegui il comando seguente:

    aws logs put-delivery-destination \
  --name delivery-destination-name \
  --output-format json \
  --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \
  --region us-east-1

    Sostituiscilo delivery-destination-name con un nome per la destinazione di consegna e bucket-name con il nome del tuo bucket Amazon S3.

  3. Crea un fileDelivery, che collega una fonte di consegna a una destinazione di consegna. Esegui il comando seguente:

    aws logs create-delivery \
  --delivery-source-name delivery-source-name-from-step1 \
  --delivery-destination-arn "arn-returned-in-step2" \
  --region us-east-1

    Sostituisci delivery-source-name-from-step1 con il nome della fonte di consegna del passaggio 1 e arn-returned-in-step2 con l'ARN restituito nel passaggio 2.

File di log di flusso

I log di flusso della tua protezione Shield vengono pubblicati su un bucket Amazon S3 a intervalli di 5 minuti durante un attacco. I file di registro vengono scritti ogni cinque minuti e ogni file di registro contiene i record di log di flusso per il traffico di indirizzi IP registrato nei cinque minuti precedenti.

Le dimensioni file massime per un file di log sono di 75 MB. Se il file di log raggiunge il limite di dimensione del file entro un periodo di 5 minuti, il log di flusso interrompe l'aggiunta dei record del log di flusso, lo pubblica nel bucket Amazon S3 e quindi crea un nuovo file di log.

I file di log sono compressi. Se apri i file utilizzando la console Amazon S3, Amazon S3 decomprime i record di log e li visualizza. Se scarichi i file di registro, devi decomprimerli per visualizzare i record.

Un singolo file di registro contiene voci interlacciate con più record. Per visualizzare tutti i file di registro relativi a una protezione, cerca le voci aggregate in base al nome della protezione, alla regione e all'ID del tuo account.

Sintassi dei record di log di flusso

Un record del log di flusso è una stringa separata da spazi con i seguenti campi.

Campo Description
version Numero di versione del log di flusso.
protection_arn AWS ARN di protezione che identifica la risorsa protetta in Shield Advanced.
srcaddr Indirizzo IP di origine del pacchetto.
dstaddr Indirizzo IP di destinazione del pacchetto.
srcport Porta di origine del pacchetto.
dstport Porta di destinazione del pacchetto.
protocol Protocollo del pacchetto.
packets Numero di pacchetti all'interno della finestra di aggregazione.
bytes Numero di byte all'interno della finestra di aggregazione.
starttime Ora di inizio della finestra di aggregazione.
endtime Ora di fine della finestra di aggregazione.
action Azione intrapresa da Shield Advanced.
tcp_flags TCP contrassegna il campo dal pacchetto.
sampling_rate Frequenza di campionamento utilizzata durante l'elaborazione dei pacchetti.
location AWS luogo di ingresso.
srccountry Two-letter codice del paese che rappresenta il paese del traffico in ingresso.