Câu hỏi

Có cách nào để ghi nhật ký các kết nối bị Tường lửa mạng AWS chặn hoặc lọc nhật ký của các kết nối bị chặn không?

Lý lịch

Hiện đang thiết lập các quy tắc và muốn biết IP hoặc tên miền nào đã bị chặn.

Nhìn Ghi nhật ký lưu lượng mạng từ Tường lửa mạng AWS nhưng không rõ nếu nó có thể.

Bạn có thể ghi nhật ký luồng và nhật ký cảnh báo từ công cụ trạng thái Tường lửa Mạng của mình.
Nhật ký lưu lượng là nhật ký lưu lượng mạng tiêu chuẩn. Mỗi bản ghi nhật ký luồng ghi lại luồng mạng cho 5 bộ cụ thể.

Nhật ký cảnh báo báo cáo lưu lượng truy cập phù hợp với quy tắc trạng thái của bạn có hành động gửi cảnh báo. Quy tắc có trạng thái sẽ gửi cảnh báo cho các hành động quy tắc DROP và ALERT.

Từ nhật ký luồng, không rõ liệu nó có được thông qua hay bị chặn hay không.

{
    "firewall_name": "mạng-tường lửa-sagemaker-studio-anfw",
    "availability_zone": "chúng tôi-đông-1a",
    "event_timestamp": "1628236046",
    "Sự kiện": {
        "dấu thời gian": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "luồng mạng",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "luồng mạng": {
            "pkts": 1,
            "byte": 40,
            "bắt đầu": "2021-08-06T07:46:24.365793+0000",
            "kết thúc": "2021-08-06T07:46:24.365793+0000",
            "tuổi": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "đồng bộ": đúng
        }
    }
}

Bạn phải định cấu hình tường lửa của mình để ghi nhật ký loại "Cảnh báo".

Sau đó, nó sẽ hiển thị nguồn, đích và hành động (tức là DROP hoặc ALLOW).

Đây là một số tài liệu về cách thay đổi loại nhật ký:
https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html