为 AWS Network Firewall 策略配置日志记录 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AWS Network Firewall 策略配置日志记录

本节介绍如何为 Network Firewall 策略启用集中日志记录,以获取有关组织内流量的详细信息。您可以选择流量日志来捕获网络流量,也可以选择警报日志来报告与规则操作设置为 DROPALERT 的规则相匹配的流量。有关 AWS Network Firewall 日志记录的更多信息,请参阅 AWS Network Firewall 开发人员指南中的录入来自 AWS Network Firewall的网络流量

您将日志从策略的 Network Firewall 防火墙发送到 Amazon S3 存储桶。启用日志记录后,通过更新防火墙设置来 AWS Network Firewall 传送每个已配置的 Network Firewall 的日志,将日志传送到您选定的带有保留 AWS Firewall Manager 前缀的 Amazon S3 存储桶。<policy-name>-<policy-id>

注意

Firewall Manager 使用此前缀来确定日志配置是由 Firewall Manager 添加的,还是由账户所有者添加的。如果账户所有者尝试将保留的前缀用于自己的自定义日志记录,则该前缀会被 Firewall Manager 策略中的日志配置覆盖。

有关如何创建 Amazon S3 存储桶和查看存储日志的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的什么是 Amazon S3?

要启用日志记录功能,您必须满足以下要求:

  • 您在Firewall Manager 策略中指定的 Amazon S3 必须存在。

  • 您必须拥有以下权限:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果作为您的日志目标的 Amazon S3 存储桶使用服务器端加密,且密钥存储在中 AWS Key Management Service,则必须将以下策略添加到 AWS KMS 客户管理的密钥中,以允许 Firewall Manager 登录到您的 CloudWatch 日志组:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

请注意,只有 Firewall Manager 管理员账户中的存储分区可以用于 AWS Network Firewall 集中日志记录。

在 Network Firewall 策略上启用集中日志记录时,Firewall Manager 会对您的账户执行以下操作:

  • Firewall Manager 会更新所选 S3 存储桶的权限以允许传送日志。

  • Firewall Manager 在 S3 存储桶中为策略范围内的每个成员账户创建目录。每个账户的日志可在 <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id> 找到。

启用 Network Firewall 策略的日志记录

  1. 使用 Firewall Manager 管理员账户创建 Amazon S3 存储桶。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶

  2. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

  3. 在导航窗格中,选择安全策略

  4. 选择要为其启用日志记录的 Network Firewall 策略。有关 AWS Network Firewall 日志记录的更多信息,请参阅AWS Network Firewall 开发者指南 AWS Network Firewall中的记录网络流量

  5. 策略详细信息选项卡的策略规则部分,选择编辑

  6. 要启用和聚合日志,请在日志配置下选择一个或多个选项:

    • 启用和聚合流日志

    • 启用和聚合警报日志

  7. 选择需要将日志传输到哪个 Amazon S3 存储桶。您必须为启用的每种日志类型选择一个存储桶。同一存储桶可以同时用于两种日志类型。

  8. (可选)如果您希望将自定义成员账户创建的日志记录替换为策略的日志配置,请选择覆盖现有日志配置。

  9. 选择下一步

  10. 查看您的设置,然后选择保存以保存对策略的更改。

禁用 Network Firewall 策略的日志记录

  1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅AWS Firewall Manager 先决条件

  2. 在导航窗格中,选择安全策略

  3. 选择要为其禁用日志记录的 Network Firewall 策略。

  4. 策略详细信息选项卡的策略规则部分,选择编辑

  5. 日志配置状态下,取消选择启用并聚合流日志启用并聚合警报日志(如果已选中)。

  6. 选择下一步

  7. 查看您的设置,然后选择保存以保存对策略的更改。