**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Network Firewall 政策的記錄
本節說明如何啟用 Network Firewall 政策的集中式記錄,以取得組織內流量的詳細資訊。您可以選擇流程記錄以擷取網路流量流程,或提醒記錄以報告符合規則且規則動作設為 `DROP`或 的流量`ALERT`。如需記錄的詳細資訊 AWS Network Firewall ,請參閱《 *AWS Network Firewall 開發人員指南*》中的[從 記錄網路流量 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。
您可以將日誌從政策的網路防火牆防火牆傳送至 Amazon S3 儲存貯體。啟用記錄後, 會透過更新防火牆設定,將日誌 AWS Network Firewall 傳遞至您選取的 Amazon S3 儲存貯體,並加上預留 AWS Firewall Manager 字首 ,來傳遞每個已設定之 Network Firewall 的日誌`-`。
**注意**
Firewall Manager 使用此字首來判斷 Firewall Manager 是否新增記錄組態,或帳戶擁有者是否新增記錄組態。如果帳戶擁有者嘗試為自己的自訂記錄使用預留字首,則會由 Firewall Manager 政策中的記錄組態覆寫。
如需如何建立 Amazon S3 儲存貯體和檢閱儲存日誌的詳細資訊,請參閱[《Amazon Simple Storage Service 使用者指南》中的什麼是 Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。 **
若要啟用記錄功能,您必須符合下列要求:
+ 您在 Firewall Manager 政策中指定的 Amazon S3 必須存在。
+ 您必須具備下列許可:
+ `logs:CreateLogDelivery`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
+ 如果記錄目的地的 Amazon S3 儲存貯體使用存放在 中的金鑰進行伺服器端加密 AWS Key Management Service,您必須將下列政策新增至 AWS KMS 客戶受管金鑰,以允許 Firewall Manager 登入您的 CloudWatch Logs 日誌群組:
```
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
請注意,只有 Firewall Manager 管理員帳戶中的儲存貯體可用於 AWS Network Firewall 中央記錄。
當您在 Network Firewall 政策上啟用集中式記錄時, Firewall Manager 會在您的帳戶上執行這些動作:
+ Firewall Manager 會更新所選 S3 儲存貯體的許可,以允許 交付日誌。
+ Firewall Manager 會在 S3 儲存貯體中為政策範圍內的每個成員帳戶建立目錄。您可以在 找到每個帳戶的日誌`/-/AWSLogs/`。
**啟用網路防火牆政策的記錄**
1. 使用您的 Firewall Manager 管理員帳戶建立 Amazon S3 儲存貯體。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[建立儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)體。
1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**
如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
1. 在導覽窗格中,選擇**安全政策**。
1. 選擇您要啟用記錄的網路防火牆政策。如需 AWS Network Firewall 記錄的詳細資訊,請參閱《 *AWS Network Firewall 開發人員指南*》中的[從 記錄網路流量 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。
1. 在**政策詳細資訊**索引標籤**的政策規則**區段中,選擇**編輯**。
1. 若要啟用和彙總日誌,請在**記錄組態**下選擇一或多個選項:
+ **啟用和彙總流程日誌**
+ **啟用和彙總警示日誌**
1. 選擇您要交付日誌的 Amazon S3 儲存貯體。您必須為您啟用的每個日誌類型選擇儲存貯體。您可以針對這兩種日誌類型使用相同的儲存貯體。
1. (選用) 如果您想要將自訂成員帳戶建立的記錄取代為政策的記錄組態,請選擇**覆寫現有的記錄組態**。
1. 選擇**下一步**。
1. 檢閱您的設定,然後選擇**儲存**以儲存您對政策的變更。
**停用網路防火牆政策的記錄**
1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**
如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
1. 在導覽窗格中,選擇**安全政策**。
1. 選擇您要停用記錄的網路防火牆政策。
1. 在**政策詳細資訊**索引標籤**的政策規則**區段中,選擇**編輯**。
1. 在**記錄組態狀態**下,取消選取**啟用和彙總流程日誌**,以及如果選取**啟用和彙總提醒日誌**。
1. 選擇**下一步**。
1. 檢閱您的設定,然後選擇**儲存**以儲存您對政策的變更。