问题

有没有办法记录被 AWS 网络防火墙阻止的连接，或者过滤被阻止连接的日志？

背景

目前已经设置了规则，想知道哪些 IP 或域名已被阻止。

看着从 AWS 网络防火墙记录网络流量但不清楚是否可能。

您可以从网络防火墙状态引擎记录流日志和警报日志。
流日志是标准的网络流量流日志。每个流日志记录都会捕获特定 5 元组的网络流量。

警报日志会报告与具有发送警报操作的状态规则匹配的流量。状态规则会针对规则操作 DROP 和 ALERT 发送警报。

从流日志来看，无法明确它是被通过了还是被阻止了。

{
    "firewall_name": "network-firewall-sagemaker-studio-anfw",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1628236046",
    "event": {
        "timestamp": "2021-08-06T07:47:26.000068+0000",
        "flow_id": 1108238612337889,
        "event_type": "netflow",
        "src_ip": "51.222.5.114",
        "src_port": 57528,
        "dest_ip": "10.2.2.60",
        "dest_port": 8088,
        "proto": "TCP",
        "netflow": {
            "pkts": 1,
            "bytes": 40,
            "start": "2021-08-06T07:46:24.365793+0000",
            "end": "2021-08-06T07:46:24.365793+0000",
            "age": 0,
            "min_ttl": 239,
            "max_ttl": 239
        },
        "tcp": {
            "tcp_flags": "02",
            "syn": true
        }
    }
}