Frage

Gibt es eine Möglichkeit, die von der AWS Network Firewall blockierten Verbindungen zu protokollieren oder die Protokolle blockierter Verbindungen zu filtern?

Hintergrund

Ich habe gerade die Regeln eingerichtet und möchte wissen, welche IPs oder Domänen blockiert wurden.

AnschauenProtokollieren des Netzwerkverkehrs von der AWS Network Firewallaber nicht klar, ob es möglich ist.

Sie können Flussprotokolle und Warnprotokolle von Ihrer Stateful Engine der Network Firewall aufzeichnen.
Flussprotokolle sind standardmäßige Netzwerkverkehrsflussprotokolle. Jeder Flussprotokolldatensatz erfasst den Netzwerkfluss für ein bestimmtes 5-Tupel. Warnprotokolle

melden Datenverkehr, der Ihren Stateful-Regeln entspricht, die eine Aktion haben, die eine Warnung sendet. Eine Stateful-Regel sendet Warnungen für die Regelaktionen DROP und ALERT.

Aus den Flussprotokollen geht nicht hervor, ob der Fluss durchgelassen oder blockiert wird.

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}