Вопрос
Есть ли способ вести журнал подключений, заблокированных сетевым брандмауэром AWS, или фильтровать журналы заблокированных подключений?
Задний план
В настоящее время настроил правила и хотел бы знать, какие IP-адреса или домены были заблокированы.
Смотря на Регистрация сетевого трафика из сетевого брандмауэра AWS но не ясно, возможно ли это.
Вы можете записывать журналы потоков и журналы предупреждений из механизма отслеживания состояния сетевого брандмауэра.
Журналы потоков — это стандартные журналы потоков сетевого трафика. Каждая запись журнала потока фиксирует сетевой поток для определенного кортежа из 5.
Журналы предупреждений сообщают о трафике, соответствующем вашим правилам с отслеживанием состояния, в которых есть действие, которое отправляет предупреждение. Правило с отслеживанием состояния отправляет оповещения для действий правила DROP и ALERT.
Из журналов потока неясно, пройден он или заблокирован.
{
"firewall_name": "сетевой-брандмауэр-sagemaker-studio-anfw",
"availability_zone": "сша-восток-1а",
"event_timestamp": "1628236046",
"событие": {
"отметка времени": "2021-08-06T07:47:26.000068+0000",
"flow_id": 1108238612337889,
"event_type": "сетевой поток",
"src_ip": "51.222.5.114",
"источник_порт": 57528,
"dest_ip": "10.2.2.60",
"dest_port": 8088,
"прото": "TCP",
"поток данных, передающихся по сети": {
"пц": 1,
"байт": 40,
"старт": "2021-08-06T07:46:24.365793+0000",
"конец": "2021-08-06T07:46:24.365793+0000",
"возраст": 0,
"мин_ттл": 239,
"макс_ттл": 239
},
"TCP": {
"tcp_flags": "02",
"син": правда
}
}
}
