**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registri del flusso di attacco Shield Advanced
I log di flusso consentono di acquisire informazioni sul traffico diretto alle interfacce di rete nelle risorse protette Shield Advanced. I dati dei log di flusso vengono pubblicati su Amazon S3, Amazon CloudWatch Logs o Amazon Data Firehose, dove puoi recuperare e visualizzare i dati dopo aver abilitato i log di flusso.
**Nota**
È necessario visualizzare le CloudWatch metriche e i log per le risorse protette in Shield Advanced nella regione Stati Uniti orientali (Virginia settentrionale), nella console e quando si utilizza il. AWS CLI Quando utilizzi la AWS CLI, specifica la regione Stati Uniti orientali (Virginia settentrionale) per il comando includendo il seguente parametro: `--region us-east-1`
**Nota**
CloudWatch I costi di log si applicano quando si utilizzano i log di flusso, anche quando i log vengono pubblicati direttamente su Amazon S3. [Per ulteriori informazioni, consulta Vending Logs nella scheda Logs di Amazon Pricing. CloudWatch ](https://aws.amazon.com/cloudwatch/pricing/)
## Abilita la pubblicazione dei log di flusso su Amazon S3
Per pubblicare i log di flusso su Amazon S3, devi configurare le autorizzazioni IAM per le azioni di consegna dei log e per il servizio Shield.
### Autorizzazioni IAM per la pubblicazione dei log di flusso
Un principale IAM, ad esempio un ruolo o un utente IAM, deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel bucket Amazon S3. La policy IAM deve includere le seguenti autorizzazioni:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:{{accountID}}:delivery:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-source:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
}
]
}
```
Nella politica precedente, sostituiscilo {{accountID}} con l'ID del tuo AWS account e {{bucket-name}} con il nome del tuo bucket Amazon S3.
### Autorizzazioni specifiche del servizio Shield
Oltre alle autorizzazioni specifiche della destinazione, AWS Shield richiede un'autorizzazione esplicita per l'invio dei log dalle tue risorse. Ciò fornisce un ulteriore livello di sicurezza. Shield autorizza l'`AllowVendedLogDeliveryForResource`azione per le risorse di protezione che vend logs:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"shield:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:shield::{{accountID}}:protection/*"
}
]
}
```
Sostituiscilo {{accountID}} con l'ID del tuo account. AWS
## Per abilitare la consegna dei log di flusso
La consegna di un log funzionante è composta da tre elementi. Utilizzare la procedura seguente per configurare ogni elemento utilizzando AWS CLI.
1. Crea un`DeliverySource`, che è un oggetto logico che rappresenta le risorse che inviano i log. Esegui il comando seguente:
```
aws logs put-delivery-source \
--name {{delivery-source-name}} \
--resource-arn "arn:aws:shield::{{accountID}}:protection/{{protectionID}}" \
--log-type FLOW_LOGS \
--region us-east-1
```
Sostituiscilo {{delivery-source-name}} con un nome per la fonte di spedizione, {{accountID}} con l'ID del tuo AWS account e {{protectionID}} con il tuo ID di protezione Shield Advanced.
Assicurati che l'utente che emette questo comando disponga dell'autorizzazione a livello di servizio. `shield:AllowVendedLogDeliveryForResource`
1. Crea un`DeliveryDestination`, che è un oggetto logico che rappresenta l'effettiva destinazione di consegna. Esegui il comando seguente:
```
aws logs put-delivery-destination \
--name {{delivery-destination-name}} \
--output-format json \
--delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::{{bucket-name}}" \
--region us-east-1
```
Sostituiscilo {{delivery-destination-name}} con un nome per la destinazione di consegna e {{bucket-name}} con il nome del tuo bucket Amazon S3.
1. Crea un file`Delivery`, che collega una fonte di consegna a una destinazione di consegna. Esegui il comando seguente:
```
aws logs create-delivery \
--delivery-source-name {{delivery-source-name-from-step1}} \
--delivery-destination-arn "{{arn-returned-in-step2}}" \
--region us-east-1
```
Sostituisci {{delivery-source-name-from-step1}} con il nome della fonte di consegna del passaggio 1 e {{arn-returned-in-step2}} con l'ARN restituito nel passaggio 2.
## File di log di flusso
I log di flusso della tua protezione Shield vengono pubblicati su un bucket Amazon S3 a intervalli di 5 minuti durante un attacco. I file di registro vengono scritti ogni cinque minuti e ogni file di registro contiene i record di log di flusso per il traffico di indirizzi IP registrato nei cinque minuti precedenti.
Le dimensioni file massime per un file di log sono di 75 MB. Se il file di log raggiunge il limite di dimensione del file entro un periodo di 5 minuti, il log di flusso interrompe l'aggiunta dei record del log di flusso, lo pubblica nel bucket Amazon S3 e quindi crea un nuovo file di log.
I file di log sono compressi. Se apri i file utilizzando la console Amazon S3, Amazon S3 decomprime i record di log e li visualizza. Se scarichi i file di registro, devi decomprimerli per visualizzare i record.
Un singolo file di registro contiene voci interlacciate con più record. Per visualizzare tutti i file di registro relativi a una protezione, cerca le voci aggregate in base al nome della protezione, alla regione e all'ID del tuo account.
## Sintassi dei record di log di flusso
Un record del log di flusso è una stringa separata da spazi con i seguenti campi.
| Campo | Description |
| --- | --- |
| version | Numero di versione del log di flusso. |
| protection\_arn | AWS ARN di protezione che identifica la risorsa protetta in Shield Advanced. |
| srcaddr | Indirizzo IP di origine del pacchetto. |
| dstaddr | Indirizzo IP di destinazione del pacchetto. |
| srcport | Porta di origine del pacchetto. |
| dstport | Porta di destinazione del pacchetto. |
| protocol | Protocollo del pacchetto. |
| packets | Numero di pacchetti all'interno della finestra di aggregazione. |
| bytes | Numero di byte all'interno della finestra di aggregazione. |
| starttime | Ora di inizio della finestra di aggregazione. |
| endtime | Ora di fine della finestra di aggregazione. |
| action | Azione intrapresa da Shield Advanced. |
| tcp\_flags | TCP contrassegna il campo dal pacchetto. |
| sampling\_rate | Frequenza di campionamento utilizzata durante l'elaborazione dei pacchetti. |
| location | AWS luogo di ingresso. |
| srccountry | Two-letter codice del paese che rappresenta il paese del traffico in ingresso. |