Configurar o registro em log para uma política do AWS Network Firewall
Essa seção explica como você pode habilitar o registro de logs centralizado para suas políticas de Network Firewall para obter informações detalhadas sobre o tráfego em sua organização. Você pode selecionar o registro em log do fluxo para capturar o fluxo de tráfego da rede ou o registro em log de alertas para relatar o tráfego que corresponda a uma regra com a ação da regra definida como DROP ou ALERT. Para obter mais informações sobre registro em log AWS Network Firewall, consulte Registrar tráfego de rede do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall.
Você envia logs dos firewalls da política do Network Firewall para um bucket do Amazon S3. Depois de ativar o registro em log, AWS Network Firewall entrega os logs para cada Network Firewall configurado atualizando as configurações do firewall para entregar os logs aos buckets selecionados do bucket do Amazon S3 com o prefixo AWS Firewall Manager reservado, <policy-name>-<policy-id>.
nota
Esse prefixo é usado pelo Firewall Manager para determinar se uma configuração de registro em log foi adicionada pelo Firewall Manager ou se foi adicionada pelo proprietário da conta. Se o proprietário da conta tentar usar o prefixo reservado para seu próprio registro em log personalizado, ele será substituído pela configuração de registro em log na política do Firewall Manager.
Para obter mais informações sobre como criar um bucket do Amazon S3 e revisar os logs armazenados, consulte O que é o Amazon S3? no Guia do usuário do Amazon Simple Storage Service.
Você deve atender aos seguintes requisitos para habilitar o registro em log:
-
O Amazon S3 que você especificar em sua política do Firewall Manager deve existir.
-
Você deve ter as seguintes permissões:
logs:CreateLogDeliverys3:GetBucketPolicys3:PutBucketPolicy
-
Se o bucket do Amazon S3 que é seu destino de registro em log usa criptografia do lado do servidor com chaves armazenadas em AWS Key Management Service, você deve adicionar a seguinte política à sua chave AWS KMS gerenciada pelo cliente para permitir que o Firewall Manager faça login no seu grupo de logs do CloudWatch Logs:
{ "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }
Observe que somente os buckets na conta de administrador do Firewall Manager podem ser usados para o registro em log central do AWS Network Firewall.
Quando você habilita o registro em log centralizado em uma política de Network Firewall, o Firewall Manager executa as seguintes ações em sua conta:
O Firewall Manager atualiza as permissões nos buckets do S3 selecionados para permitir a entrega de logs.
O Firewall Manager cria diretórios no bucket do S3 para cada conta membro no escopo da política. Os logs de cada conta podem ser encontrados em
<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.
Para habilitar o registro em log para uma política de Network Firewall
Crie um bucket do Amazon S3 usando sua conta de administrador do Firewall Manager. Para obter mais informações, consulte Criar um bucket no Guia do usuário do Amazon Simple Storage Service.
-
Faça login no AWS Management Console usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2
. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager. nota
Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.
No painel de navegação, escolha Políticas de segurança.
Selecione a política de Network Firewall para a qual você deseja habilitar o registro em log. Para obter mais informações sobre registro em log AWS Network Firewall, consulte Registrar tráfego de rede do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall.
Na guia Detalhes da política, na seção Regras da política, escolha Editar.
Para ativar e agregar logs, escolha uma ou mais opções em Configuração de registro em log:
Habilitar e agregar logs de fluxo
Habilitar e agregar logs de alerta
Escolha o bucket do Amazon S3 no qual você quer que seus logs sejam entregues. Você deve escolher um bucket para cada tipo de log habilitado. Você pode usar o mesmo bucket para os dois tipos de log.
(Opcional) Se você quiser que o registro em log personalizado criado pela conta do membro seja substituído pela configuração de registro em log da política, escolha Substituir configuração de registro em log existente.
Escolha Próximo.
Revise suas configurações e escolha Salvar para salvar suas alterações na política.
Para desativar o registro em log de uma política de Network Firewall
-
Faça login no AWS Management Console usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2
. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager. nota
Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.
No painel de navegação, escolha Políticas de segurança.
Selecione a política de Network Firewall para a qual você deseja desabilitar o registro em log.
Na guia Detalhes da política, na seção Regras da política, escolha Editar.
Em Status da configuração de registro em log, desmarque Habilitar e agregar logs de fluxo e Habilitar e agregar logs de alerta, se estiverem selecionados.
Escolha Próximo.
Revise suas configurações e escolha Salvar para salvar suas alterações na política.
