**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registros de fluxo de ataque do Shield Advanced
Os registros de fluxo permitem que você capture informações sobre o tráfego que vai para as interfaces de rede em seus recursos protegidos do Shield Advanced. Os dados do log de fluxo são publicados no Amazon S3, no Amazon CloudWatch Logs ou no Amazon Data Firehose, onde você pode recuperar e visualizar seus dados depois de habilitar os registros de fluxo.
**nota**
Você deve visualizar CloudWatch métricas e registros de recursos protegidos no Shield Advanced na região Leste dos EUA (Norte da Virgínia), no console e ao usar AWS CLI o. Ao usar o AWS CLI, especifique a região Leste dos EUA (Norte da Virgínia) para seu comando incluindo o seguinte parâmetro: `--region us-east-1`
**nota**
CloudWatch As cobranças de registros se aplicam quando você usa registros de fluxo, mesmo quando os registros são publicados diretamente no Amazon S3. Para obter mais informações, consulte Vended Logs na guia Logs em [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
## Habilitar a publicação de logs de fluxo no Amazon S3
Para publicar registros de fluxo no Amazon S3, você deve configurar as permissões do IAM para as ações de entrega de log e para o serviço Shield.
### Permissões do IAM para publicar registros de fluxo
Uma entidade principal do IAM na sua conta, como um perfil do IAM ou usuário do IAM, deve ter permissões suficientes para publicar logs de fluxo no bucket do Amazon S3. A política do IAM deve incluir as permissões a seguir:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ReadWriteAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:GetDelivery",
"logs:GetDeliverySource",
"logs:PutDeliveryDestination",
"logs:GetDeliveryDestinationPolicy",
"logs:DeleteDeliverySource",
"logs:PutDeliveryDestinationPolicy",
"logs:CreateDelivery",
"logs:GetDeliveryDestination",
"logs:PutDeliverySource",
"logs:DeleteDeliveryDestination",
"logs:DeleteDeliveryDestinationPolicy",
"logs:DeleteDelivery",
"logs:UpdateDeliveryConfiguration"
],
"Resource": [
"arn:aws:logs:us-east-1:{{accountID}}:delivery:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-source:*",
"arn:aws:logs:us-east-1:{{accountID}}:delivery-destination:*"
]
},
{
"Sid": "ListAccessForLogDeliveryActions",
"Effect": "Allow",
"Action": [
"logs:DescribeDeliveryDestinations",
"logs:DescribeDeliverySources",
"logs:DescribeDeliveries",
"logs:DescribeConfigurationTemplates"
],
"Resource": "*"
},
{
"Sid": "AllowUpdatesToResourcePolicyS3",
"Effect": "Allow",
"Action": [
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": "arn:aws:s3:::{{bucket-name}}"
}
]
}
```
Na política anterior, {{accountID}} substitua pelo ID da sua AWS conta e {{bucket-name}} pelo nome do seu bucket do Amazon S3.
### Permissões específicas do serviço Shield
Além das permissões específicas do destino, AWS Shield requer autorização explícita para que você possa enviar registros de seus recursos. Isso fornece uma camada adicional de segurança. O Shield autoriza a `AllowVendedLogDeliveryForResource` ação para recursos de proteção que vendem registros:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ServiceLevelAccessForLogDelivery",
"Effect": "Allow",
"Action": [
"shield:AllowVendedLogDeliveryForResource"
],
"Resource": "arn:aws:shield::{{accountID}}:protection/*"
}
]
}
```
{{accountID}}Substitua pelo ID AWS da sua conta.
## Para habilitar a entrega do registro de fluxo
A entrega de um registro de trabalho consiste em três elementos. Use o procedimento a seguir para configurar cada elemento usando AWS CLI o.
1. Crie um`DeliverySource`, que é um objeto lógico que representa os recursos que enviam os registros. Execute este comando: .
```
aws logs put-delivery-source \
--name {{delivery-source-name}} \
--resource-arn "arn:aws:shield::{{accountID}}:protection/{{protectionID}}" \
--log-type FLOW_LOGS \
--region us-east-1
```
{{delivery-source-name}}Substitua por um nome para sua fonte de entrega, {{accountID}} pelo ID AWS da sua conta e pelo ID {{protectionID}} de proteção Shield Advanced.
Certifique-se de que o usuário que está emitindo esse comando tenha a permissão de nível de serviço. `shield:AllowVendedLogDeliveryForResource`
1. Crie um`DeliveryDestination`, que é um objeto lógico que representa o destino real da entrega. Execute este comando: .
```
aws logs put-delivery-destination \
--name {{delivery-destination-name}} \
--output-format json \
--delivery-destination-configuration "destinationResourceArn=arn:aws:s3:::{{bucket-name}}" \
--region us-east-1
```
{{delivery-destination-name}}Substitua por um nome para seu destino de entrega e {{bucket-name}} pelo nome do seu bucket Amazon S3.
1. Crie um`Delivery`, que conecta uma fonte de entrega a um destino de entrega. Execute este comando: .
```
aws logs create-delivery \
--delivery-source-name {{delivery-source-name-from-step1}} \
--delivery-destination-arn "{{arn-returned-in-step2}}" \
--region us-east-1
```
{{delivery-source-name-from-step1}}Substitua pelo nome da fonte de entrega da etapa 1 e {{arn-returned-in-step2}} pelo ARN retornado na etapa 2.
## Arquivos de log de fluxo
Os registros de fluxo da sua proteção Shield são publicados em um bucket do Amazon S3 em intervalos de 5 minutos durante um ataque. Os arquivos de log são gravados a cada cinco minutos, e cada arquivo de log contém registros de log de fluxo para o tráfego de endereço IP registrado nos cinco minutos anteriores.
O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log de fluxo para de adicionar registros de log de fluxo, publica o arquivo no bucket do Amazon S3 e cria um novo arquivo de log.
Os arquivos de log são compactados. Se você abrir os arquivos usando o console do Amazon S3, o Amazon S3 descompacta os registros de log e os exibe. Se você baixar os arquivos de log, será necessário descompactá-los para visualizar os registros de log de fluxo.
Um único arquivo de log contém entradas intercaladas com vários registros. Para ver todos os arquivos de log de uma proteção, procure entradas agregadas pelo nome da proteção, região e ID da sua conta.
## Sintaxe de registros de log de fluxo
Um registro de log de fluxo é uma sequência de caracteres separada por espaços com os seguintes campos.
| Campo | Description |
| --- | --- |
| version | Número da versão do log de fluxo. |
| protection\_arn | AWS ARN de proteção que identifica o recurso protegido no Shield Advanced. |
| srcaddr | Endereço IP de origem do pacote. |
| dstaddr | Endereço IP de destino do pacote. |
| srcport | Porta de origem do pacote. |
| dstport | Porta de destino do pacote. |
| protocol | Protocolo do pacote. |
| packets | Número de pacotes na janela de agregação. |
| bytes | Número de bytes na janela de agregação. |
| starttime | Hora de início da janela de agregação. |
| endtime | Hora de término da janela de agregação. |
| action | Ação tomada pelo Shield Advanced. |
| tcp\_flags | Campo de sinalizadores TCP do pacote. |
| sampling\_rate | Taxa de amostragem usada durante o processamento de pacotes. |
| location | AWS local de entrada. |
| srccountry | Two-letter código do país representando o país do tráfego de entrada. |