Habilitar a publicação de logs de fluxo no Amazon S3 Para habilitar a entrega do registro de fluxo Arquivos de log de fluxo Sintaxe de registros de log de fluxo

Registros de fluxo de ataque do Shield Advanced

Os registros de fluxo permitem que você capture informações sobre o tráfego que vai para as interfaces de rede em seus recursos protegidos do Shield Advanced. Os dados do log de fluxo são publicados no Amazon S3, no Amazon CloudWatch Logs ou no Amazon Data Firehose, onde você pode recuperar e visualizar seus dados depois de habilitar os registros de fluxo.

nota

Você deve visualizar CloudWatch métricas e registros de recursos protegidos no Shield Advanced na região Leste dos EUA (Norte da Virgínia), no console e ao usar AWS CLI o. Ao usar o AWS CLI, especifique a região Leste dos EUA (Norte da Virgínia) para seu comando incluindo o seguinte parâmetro: --region us-east-1

nota

CloudWatch As cobranças de registros se aplicam quando você usa registros de fluxo, mesmo quando os registros são publicados diretamente no Amazon S3. Para obter mais informações, consulte Vended Logs na guia Logs em Amazon CloudWatch Pricing.

Habilitar a publicação de logs de fluxo no Amazon S3

Para publicar registros de fluxo no Amazon S3, você deve configurar as permissões do IAM para as ações de entrega de log e para o serviço Shield.

Permissões do IAM para publicar registros de fluxo

Uma entidade principal do IAM na sua conta, como um perfil do IAM ou usuário do IAM, deve ter permissões suficientes para publicar logs de fluxo no bucket do Amazon S3. A política do IAM deve incluir as permissões a seguir:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ReadWriteAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:GetDelivery",
                "logs:GetDeliverySource",
                "logs:PutDeliveryDestination",
                "logs:GetDeliveryDestinationPolicy",
                "logs:DeleteDeliverySource",
                "logs:PutDeliveryDestinationPolicy",
                "logs:CreateDelivery",
                "logs:GetDeliveryDestination",
                "logs:PutDeliverySource",
                "logs:DeleteDeliveryDestination",
                "logs:DeleteDeliveryDestinationPolicy",
                "logs:DeleteDelivery",
                "logs:UpdateDeliveryConfiguration"
            ],
            "Resource": [
                "arn:aws:logs:us-east-1:accountID:delivery:*",
                "arn:aws:logs:us-east-1:accountID:delivery-source:*",
                "arn:aws:logs:us-east-1:accountID:delivery-destination:*"
            ]
        },
        {
            "Sid": "ListAccessForLogDeliveryActions",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeDeliveryDestinations",
                "logs:DescribeDeliverySources",
                "logs:DescribeDeliveries",
                "logs:DescribeConfigurationTemplates"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUpdatesToResourcePolicyS3",
            "Effect": "Allow",
            "Action": [
                "s3:PutBucketPolicy",
                "s3:GetBucketPolicy"
            ],
            "Resource": "arn:aws:s3:::bucket-name"
        }
    ]
}

Na política anterior, accountID substitua pelo ID da sua AWS conta e bucket-name pelo nome do seu bucket do Amazon S3.

Permissões específicas do serviço Shield

Além das permissões específicas do destino, AWS Shield requer autorização explícita para que você possa enviar registros de seus recursos. Isso fornece uma camada adicional de segurança. O Shield autoriza a AllowVendedLogDeliveryForResource ação para recursos de proteção que vendem registros:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ServiceLevelAccessForLogDelivery",
            "Effect": "Allow",
            "Action": [
                "shield:AllowVendedLogDeliveryForResource"
            ],
            "Resource": "arn:aws:shield::accountID:protection/*"
        }
    ]
}

accountIDSubstitua pelo ID AWS da sua conta.

Para habilitar a entrega do registro de fluxo

A entrega de um registro de trabalho consiste em três elementos. Use o procedimento a seguir para configurar cada elemento usando AWS CLI o.

Crie umDeliverySource, que é um objeto lógico que representa os recursos que enviam os registros. Execute este comando: .
```
aws logs put-delivery-source \
  --name delivery-source-name \
  --resource-arn "arn:aws:shield::accountID:protection/protectionID" \
  --log-type FLOW_LOGS \
  --region us-east-1
```
delivery-source-nameSubstitua por um nome para sua fonte de entrega, accountID pelo ID AWS da sua conta e pelo ID protectionID de proteção Shield Advanced.

Certifique-se de que o usuário que está emitindo esse comando tenha a permissão de nível de serviço. shield:AllowVendedLogDeliveryForResource
Crie umDeliveryDestination, que é um objeto lógico que representa o destino real da entrega. Execute este comando: .
```
aws logs put-delivery-destination \
  --name delivery-destination-name \
  --output-format json \
  --delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::bucket-name" \
  --region us-east-1
```
delivery-destination-nameSubstitua por um nome para seu destino de entrega e bucket-name pelo nome do seu bucket Amazon S3.
Crie umDelivery, que conecta uma fonte de entrega a um destino de entrega. Execute este comando: .
```
aws logs create-delivery \
  --delivery-source-name delivery-source-name-from-step1 \
  --delivery-destination-arn "arn-returned-in-step2" \
  --region us-east-1
```
delivery-source-name-from-step1Substitua pelo nome da fonte de entrega da etapa 1 e arn-returned-in-step2 pelo ARN retornado na etapa 2.

Arquivos de log de fluxo

Os registros de fluxo da sua proteção Shield são publicados em um bucket do Amazon S3 em intervalos de 5 minutos durante um ataque. Os arquivos de log são gravados a cada cinco minutos, e cada arquivo de log contém registros de log de fluxo para o tráfego de endereço IP registrado nos cinco minutos anteriores.

O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log de fluxo para de adicionar registros de log de fluxo, publica o arquivo no bucket do Amazon S3 e cria um novo arquivo de log.

Os arquivos de log são compactados. Se você abrir os arquivos usando o console do Amazon S3, o Amazon S3 descompacta os registros de log e os exibe. Se você baixar os arquivos de log, será necessário descompactá-los para visualizar os registros de log de fluxo.

Um único arquivo de log contém entradas intercaladas com vários registros. Para ver todos os arquivos de log de uma proteção, procure entradas agregadas pelo nome da proteção, região e ID da sua conta.

Sintaxe de registros de log de fluxo

Um registro de log de fluxo é uma sequência de caracteres separada por espaços com os seguintes campos.

Campo	Description
`version`	Número da versão do log de fluxo.
`protection_arn`	AWS ARN de proteção que identifica o recurso protegido no Shield Advanced.
`srcaddr`	Endereço IP de origem do pacote.
`dstaddr`	Endereço IP de destino do pacote.
`srcport`	Porta de origem do pacote.
`dstport`	Porta de destino do pacote.
`protocol`	Protocolo do pacote.
`packets`	Número de pacotes na janela de agregação.
`bytes`	Número de bytes na janela de agregação.
`starttime`	Hora de início da janela de agregação.
`endtime`	Hora de término da janela de agregação.
`action`	Ação tomada pelo Shield Advanced.
`tcp_flags`	Campo de sinalizadores TCP do pacote.
`sampling_rate`	Taxa de amostragem usada durante o processamento de pacotes.
`location`	AWS local de entrada.
`srccountry`	Two-letter código do país representando o país do tráfego de entrada.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visibilidade do evento entre contas

Respondendo aos eventos DDo S