为 Amazon Network Firewall 策略配置日志记录 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Network Firewall 策略配置日志记录

本节介绍了如何为 Network Firewall 策略启用集中日志记录,以获取有关组织内流量的详细信息。您可以选择流量日志来捕获网络流量,也可以选择警报日志来报告与规则操作设置为 DROPALERT 的规则相匹配的流量。有关 Amazon Network Firewall 日志记录的更多信息,请参阅 Amazon Network Firewall 开发人员指南中的录入来自 Amazon Network Firewall的网络流量

您将日志从策略的 Network Firewall 防火墙发送到 Amazon S3 存储桶。启用日志记录后,通过更新防火墙设置来 Amazon Network Firewall 传送每个已配置的 Network Firewall 的日志,将日志传送到您选定的带有保留 Amazon Firewall Manager 前缀的 Amazon S3 存储桶。<policy-name>-<policy-id>

注意

Firewall Manager 使用此前缀来确定日志配置是由 Firewall Manager 添加的,还是由账户所有者添加的。如果账户所有者尝试将保留的前缀用于自己的自定义日志记录,则该前缀会被 Firewall Manager 策略中的日志配置覆盖。

有关如何创建 Amazon S3 存储桶和查看存储日志的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的什么是 Amazon S3?

要启用日志记录功能,您必须满足以下要求:

  • 您在Firewall Manager 策略中指定的 Amazon S3 必须存在。

  • 您必须拥有以下权限:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 如果作为您的日志目标的 Amazon S3 存储桶使用服务器端加密,且密钥存储在中 Amazon Key Management Service,则必须将以下策略添加到 Amazon KMS 客户管理的密钥中,以允许 Firewall Manager 登录到您的 CloudWatch 日志组:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

请注意,只有 Firewall Manager 管理员账户中的存储分区可以用于 Amazon Network Firewall 集中日志记录。

在 Network Firewall 策略上启用集中日志记录时,Firewall Manager 会对您的账户执行以下操作:

  • Firewall Manager 会更新所选 S3 存储桶的权限以允许传送日志。

  • Firewall Manager 在 S3 存储桶中为策略范围内的每个成员账户创建目录。每个账户的日志可在 <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id> 找到。

启用 Network Firewall 策略的日志记录

  1. 使用 Firewall Manager 管理员账户创建 Amazon S3 存储桶。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的创建存储桶

  2. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  3. 在导航窗格中,选择安全策略

  4. 选择要为其启用日志记录的 Network Firewall 策略。有关 Amazon Network Firewall 日志记录的更多信息,请参阅《Amazon Network Firewall 开发者指南》 Amazon Network Firewall中的记录网络流量

  5. 策略详细信息选项卡的策略规则部分,选择编辑

  6. 要启用和聚合日志,请在日志配置下选择一个或多个选项:

    • 启用和聚合流日志

    • 启用和聚合警报日志

  7. 选择需要将日志传输到哪个 Amazon S3 存储桶。您必须为启用的每种日志类型选择一个存储桶。同一存储桶可以同时用于两种日志类型。

  8. (可选)如果您希望将自定义成员账户创建的日志记录替换为策略的日志配置,请选择覆盖现有日志配置。

  9. 选择下一步

  10. 查看您的设置,然后选择保存以保存对策略的更改。

禁用 Network Firewall 策略的日志记录

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中,选择安全策略

  3. 选择要为其禁用日志记录的 Network Firewall 策略。

  4. 策略详细信息选项卡的策略规则部分,选择编辑

  5. 日志配置状态下,取消选择启用并聚合流日志启用并聚合警报日志(如果已选中)。

  6. 选择下一步

  7. 查看您的设置,然后选择保存以保存对策略的更改。