本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Zscaler 網際網路存取
<a name="zscaler-zia-setup"></a>

CloudWatch 管道可讓您從 Zscaler 網路存取 (ZIA) 收集日誌。ZIA 是以雲端為基礎的安全 Web 閘道，可保護連線至網際網路的使用者。

**Topics**
+ [Zscaler 網際網路存取的來源組態](zscaler-zia-source-setup.md)
+ [Zscaler 網際網路存取的管道組態](zscaler-zia-pipeline-setup.md)

# Zscaler 網際網路存取的來源組態
<a name="zscaler-zia-source-setup"></a>

## 與 Zscaler 網際網路存取整合
<a name="zscaler-zia-integration"></a>

Zscaler Internet Access (ZIA) 是一種雲端型安全 Web 閘道，可保護連線至網際網路的使用者。它會檢查所有網際網路流量，以使用進階威脅偵測和 SSL 檢查來封鎖惡意軟體、網路釣魚和資料外洩。ZIA 會即時強制執行安全政策，而不需要內部部署硬體。它可為任何地方的使用者確保安全且合規的網際網路存取。CloudWatch 管道可讓您在 CloudWatch Logs 中收集此資料。

## 設定 Amazon S3 和 Amazon SQS 的說明
<a name="zscaler-zia-s3-sqs-setup"></a>

設定 ZIA 將日誌傳送至 Amazon S3 儲存貯體涉及數個步驟，主要著重於設定 Amazon S3 儲存貯體、Amazon SQS 佇列、IAM 角色，然後設定 Amazon Telemetry Pipeline。
+ 建立存放 ZIA 日誌的 Amazon S3 儲存貯體，並為每個日誌類型建立個別資料夾。建立 IAM 使用者並授予 s3 寫入許可，主控台存取不僅需要 CLI，也不需要為此帳戶建立存取金鑰和私密金鑰。
+ 使用 Amazon S3 儲存貯體詳細資訊設定 NSS 摘要以推送日誌。
+ 設定 Amazon S3 儲存貯體以建立事件通知，特別是「物件建立」事件。這些通知應傳送至 Amazon SQS 佇列。
+ 在與 Amazon S3 儲存貯體相同的區域中建立 Amazon SQS 佇列。 AWS Amazon S3 當新的日誌檔案新增至 Amazon S3 儲存貯體時，此佇列會收到通知。

## 設定 CloudWatch 管道
<a name="zscaler-zia-pipeline-config"></a>

設定管道從 Zscaler 網路存取讀取資料時，請選擇 Zscaler 網路存取 (ZIA) 作為資料來源。填入必要資訊並建立管道後，資料將可在選取的 CloudWatch Logs 日誌群組中使用。

## 支援的開放式網路安全結構描述架構事件類別
<a name="zscaler-zia-ocsf-events"></a>

此整合支援 OCSF 結構描述版本 v1.5.0 和對應至 DNS 活動 (4003)、HTTP 活動 (4002)、網路活動 (4001) 和身分驗證 (3002) 的事件。每個事件都來自來源，如下所述。

**DNS 活動**涵蓋來自來源的所有事件：
+ DNS 日誌

**HTTP 活動**涵蓋來自來源的所有事件：
+ Web 日誌

**網路活動**涵蓋來自來源的所有事件：
+ 防火牆日誌

**身分驗證**涵蓋來自來源的事件：
+ 管理員稽核日誌 - 事件動作：SIGN\$1IN、SIGN\$1OUT

# Zscaler 網際網路存取的管道組態
<a name="zscaler-zia-pipeline-setup"></a>

上的 Zscaler 設定會使用新物件事件的 Amazon SQS 通知，從 Amazon S3 儲存貯體 AWS 讀取日誌資料。 Amazon SQS 

使用下列參數設定 Zscalar 來源：

```
source:
  s3:
    aws:
      region: "us-east-1"
      sts_role_arn: "arn:aws:iam::<account>:role/<role-name>"
    compression: "gzip"
    codec:
      ndjson:
    data_source_name: "zscaler_internetaccess"
    default_bucket_owner: "123456789012"
    bucket_owners:
      my-bucket: "123456789012"
    disable_bucket_ownership_validation: false
    notification_type: "sqs"
    sqs:
      queue_url: "https://sqs.region.amazonaws.com/<account>/<queue-name>"
    on_error: "retain_messages"
```Parameters

`notification_type` (必要)  
指定通知機制。必須是「sqs」才能使用 SQS for S3 事件通知。

`data_source_name` (必要)  
識別資料來源。這可以是代表資料來源的任何字串值。範例：「zscaler\$1internetaccess」。

`aws.region` (必要)  
S3 儲存貯體和 SQS 佇列所在的 AWS 區域。

`aws.sts_role_arn` (必要)  
用於存取 S3 和 SQS 資源的 IAM 角色 ARN。

`codec` (必要)  
用於剖析 S3 物件的轉碼器組態。支援 csv、json、ndjson 轉碼器。

`compression` (選用)  
S3 物件的壓縮類型。有效值為「無」、「gzip」、「自動」。預設為「無」。

`sqs.queue_url` (SQS 需要）  
建立新物件時接收 S3 儲存貯體通知的完整 SQS 佇列 URL。

`on_error` (選用)  
決定如何處理 Amazon SQS 中的錯誤。可以是 retain\$1messages 或 delete\$1messages。預設為 retain\$1messages。