Lihat log dan metrik AWS Network Firewall dengan menggunakan Splunk - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lihat log dan metrik AWS Network Firewall dengan menggunakan Splunk

Ivo Pinto, Amazon Web Services

Ringkasan

Banyak organisasi menggunakan Splunk Enterprise sebagai alat agregasi dan visualisasi terpusat untuk log dan metrik dari berbagai sumber. Pola ini membantu Anda mengonfigurasi Splunk untuk mengambil log dan metrik AWS Network Firewall dari Amazon CloudWatch Logs dengan menggunakan Splunk Add-On untuk AWS. 

Untuk mencapai hal ini, Anda membuat peran AWS Identity and Access Management (IAM) read-only. Splunk Add-On untuk AWS menggunakan peran ini untuk mengakses. CloudWatch Anda mengonfigurasi Add-On Splunk untuk AWS untuk mengambil metrik dan log. CloudWatch Terakhir, Anda membuat visualisasi di Splunk dari data log dan metrik yang diambil.

Prasyarat dan batasan

Prasyarat

  • Akun Splunk

  • Instans Splunk Enterprise, versi 8.2.2 atau yang lebih baru 

  • Akun AWS yang aktif

  • Network Firewall, atur dan konfigurasi untuk mengirim log ke CloudWatch Log

Batasan

  • Splunk Enterprise harus digunakan sebagai klaster instans Amazon Elastic Compute Cloud (Amazon EC2) di AWS Cloud.

  • Mengumpulkan data dengan menggunakan peran IAM yang ditemukan secara otomatis untuk Amazon EC2 tidak didukung di Wilayah AWS Tiongkok.

Arsitektur

AWS Network Firewall dan arsitektur logging Splunk

Diagram ini menggambarkan hal sebagai berikut:

  1. Network Firewall menerbitkan log ke CloudWatch Log.

  2. Splunk Enterprise mengambil metrik dan log dari. CloudWatch

Untuk mengisi contoh metrik dan log dalam arsitektur ini, beban kerja menghasilkan lalu lintas yang melewati titik akhir Network Firewall untuk masuk ke internet. Ini dicapai dengan menggunakan tabel rute. Meskipun pola ini menggunakan EC2 instance Amazon tunggal sebagai beban kerja, pola ini dapat diterapkan ke arsitektur apa pun selama Network Firewall dikonfigurasi untuk mengirim CloudWatch log ke Log.

Arsitektur ini juga menggunakan instance Splunk Enterprise di virtual private cloud (VPC) lainnya. Namun, instance Splunk dapat berada di lokasi lain, seperti di VPC yang sama dengan beban kerja, selama dapat mencapai. CloudWatch APIs

Alat

Layanan AWS

Alat-alat lainnya

  • Splunk membantu Anda memantau, memvisualisasikan, dan menganalisis data log.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat kebijakan IAM.

Ikuti petunjuk dalam Membuat kebijakan menggunakan editor JSON untuk membuat kebijakan IAM yang memberikan akses hanya-baca ke data dan metrik Log. CloudWatch CloudWatch Tempelkan kebijakan berikut ke editor JSON.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
Administrator AWS

Buat peran IAM baru.

Ikuti petunjuk dalam Membuat peran untuk mendelegasikan izin ke layanan AWS guna membuat peran IAM yang digunakan oleh Add-On Splunk untuk AWS. CloudWatch Untuk kebijakan Izin, pilih kebijakan yang Anda buat sebelumnya.

Administrator AWS

Tetapkan peran IAM ke EC2 instance di cluster Splunk.

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Instans.

  3. Pilih EC2 instance di cluster Splunk.

  4. Pilih Tindakan, Keamanan, dan kemudian Ubah peran IAM.

  5. Pilih peran IAM yang Anda buat sebelumnya, lalu pilih Simpan.

Administrator AWS
TugasDeskripsiKeterampilan yang dibutuhkan

Instal add-on.

  1. Di dasbor Splunk, arahkan ke Aplikasi Splunk.

  2. Cari Add-on Splunk untuk Amazon Web Services.

  3. Pilih Instal.

  4. Berikan kredensi Splunk Anda.

Administrator splunk

Konfigurasikan kredenal AWS.

  1. Di dasbor Splunk, navigasikan ke Splunk Add-on untuk AWS.

  2. Pilih Konfigurasi.

  3. Di kolom Peran IAM yang Ditemukan Otomatis, pilih peran IAM yang Anda buat sebelumnya.

Untuk informasi selengkapnya, lihat Menemukan peran IAM dalam instans platform Splunk Anda dalam dokumentasi Splunk.

Administrator splunk
TugasDeskripsiKeterampilan yang dibutuhkan

Konfigurasikan pengambilan log Network Firewall dari CloudWatch Log.

  1. Di dasbor Splunk, navigasikan ke Splunk Add-on untuk AWS.

  2. Pilih Input.

  3. Pilih Buat Input Baru.

  4. Dalam daftar, pilih Jenis Data Kustom, lalu pilih CloudWatch Log.

  5. Berikan Nama, Akun AWS, Wilayah AWS, dan Grup Log untuk log Firewall Jaringan Anda.

  6. Pilih Simpan.

Secara default, Splunk mengambil data log setiap 10 menit. Ini adalah parameter yang dapat dikonfigurasi di bawah Pengaturan Lanjutan. Untuk informasi selengkapnya, lihat Mengkonfigurasi input CloudWatch Log menggunakan Splunk Web dalam dokumentasi Splunk.

Administrator splunk

Konfigurasikan pengambilan metrik Network Firewall dari. CloudWatch

  1. Di dasbor Splunk, navigasikan ke Splunk Add-on untuk AWS.

  2. Pilih Input.

  3. Pilih Buat Input Baru.

  4. Dalam daftar, pilih CloudWatch.

  5. Berikan Nama, Akun AWS, dan Wilayah AWS untuk metrik Network Firewall Anda.

  6. Di samping Konfigurasi Metrik, pilih Edit dalam mode lanjutan.

  7. (Opsional) Hapus semua ruang nama yang telah dikonfigurasi sebelumnya. 

  8. Pilih Tambahkan Namespace, lalu beri nama AWS/. NetworkFirewall

  9. Dalam Nilai Dimensi, tambahkan yang berikut ini.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. Untuk Metrik, pilih Semua.

  11. Untuk Statistik Metrik, pilih Jumlah.

  12. Pilih OK.

  13. Pilih Simpan.

Secara default, Splunk mengambil data metrik setiap 5 menit. Ini adalah parameter yang dapat dikonfigurasi di bawah Pengaturan Lanjutan. Untuk informasi selengkapnya, lihat Mengkonfigurasi CloudWatch input menggunakan Splunk Web dalam dokumentasi Splunk.

Administrator splunk
TugasDeskripsiKeterampilan yang dibutuhkan

Lihat alamat IP sumber teratas.

  1. Di dasbor Splunk, navigasikan ke Pencarian & Pelaporan.

  2. Di kotak enter search here, masukkan yang berikut ini.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Kueri ini menampilkan tabel alamat IP sumber dengan lalu lintas terbanyak, dalam urutan menurun.

  3. Untuk representasi grafis, pilih Visualisasi.

Administrator splunk

Lihat statistik paket.

  1. Di dasbor Splunk, navigasikan ke Pencarian & Pelaporan.

  2. Di kotak enter search here, masukkan yang berikut ini.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Kueri ini menampilkan tabel metrikDroppedPackets,PassedPackets, dan ReceivedPackets per menit.

  3. Untuk representasi grafis, pilih Visualisasi.

Administrator splunk

Lihat port sumber yang paling banyak digunakan.

  1. Di dasbor Splunk, navigasikan ke Pencarian & Pelaporan.

  2. Di kotak enter search here, masukkan yang berikut ini.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Kueri ini menampilkan tabel port sumber dengan lalu lintas terbanyak, dalam urutan menurun.

  3. Untuk representasi grafis, pilih Visualisasi.

Administrator splunk

Sumber daya terkait

Dokumentasi AWS

Posting blog AWS

AWS Marketplace