View a markdown version of this page

Visualización de los registros y las métricas de AWS Network Firewall mediante Splunk - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaTools (Herramientas)EpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de los registros y las métricas de AWS Network Firewall mediante Splunk

Ivo Pinto, Amazon Web Services

Resumen

Muchas organizaciones utilizan Splunk Enterprise como una herramienta centralizada de agregación y visualización de registros y métricas de diferentes fuentes. Este patrón le ayuda a configurar Splunk para obtener registros y métricas de AWS Network Firewall de Amazon CloudWatch Logs mediante el complemento Splunk para AWS. 

Para ello, cree un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk para AWS utiliza esta función para acceder CloudWatch. Debe configurar el complemento Splunk para que AWS extraiga métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados.

Requisitos previos y limitaciones

Requisitos previos 

  • Una cuenta de Splunk

  • Una instancia de Splunk Enterprise, versión 8.2.2 o posterior 

  • Una cuenta de AWS activa

  • Network Firewall, instalado y configurado para enviar CloudWatch registros a Logs

Limitaciones

  • Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la nube de AWS.

  • La recopilación de datos mediante un rol de IAM detectado automáticamente para Amazon EC2 no está permitida en las regiones de AWS China.

Arquitectura

Arquitectura de registro de AWS Network Firewall y Splunk

En el siguiente diagrama se ilustra lo siguiente:

  1. Network Firewall publica CloudWatch registros en Logs.

  2. Splunk Enterprise recupera métricas y registros de. CloudWatch

Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto de conexión de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de rutas. Si bien este patrón utiliza una única instancia de Amazon EC2 como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar registros a CloudWatch Logs.

Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la misma VPC que la carga de trabajo, siempre que pueda llegar a. CloudWatch APIs

Tools (Herramientas)

Servicios de AWS

  • Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura.

  • Amazon Elastic Compute Cloud (Amazon EC2) proporciona capacidad de computación escalable en la nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

  • AWS Network Firewall es un servicio de detección y prevención de intrusiones y firewall de red gestionado y con estado para la VPCs nube de AWS.

Otras herramientas

  • Splunk le permite monitorear, visualizar y analizar los datos de registro.

Epics

TareaDescripciónHabilidades requeridas

Creación de la política de IAM.

Siga las instrucciones de la sección Creación de políticas mediante el editor JSON para crear la política de IAM que conceda acceso de solo lectura a los datos y las métricas de los CloudWatch registros. CloudWatch Pegue la siguiente política de en el editor JSON.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
Administrador de AWS

Cree un rol de IAM nuevo.

Siga las instrucciones de Crear un rol para delegar permisos a un servicio de AWS para crear el rol de IAM al que utiliza el complemento Splunk para AWS para acceder. CloudWatch En Políticas de permisos, elija la política que creó anteriormente.

Administrador de AWS

Asigne el rol de IAM a las instancias de EC2 en el clúster de Splunk.

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancias).

  3. Seleccione las instancias de EC2 en el clúster de Splunk.

  4. Elija Acciones, Seguridad y, a continuación, Modificar rol de IAM.

  5. Seleccione el rol de IAM que creó anteriormente y, a continuación, elija Guardar.

Administrador de AWS
TareaDescripciónHabilidades requeridas

Instale el complemento .

  1. En el panel de control de Splunk, vaya a Splunk Apps.

  2. Busque el complemento de Splunk para Amazon Web Services.

  3. Elija Instalar.

  4. Proporcione las credenciales de Splunk.

Administrador de Splunk

Configure las credenciales de AWS.

  1. En el panel de control de Splunk, vaya a Splunk Add-on for AWS.

  2. Elija Configuración.

  3. En la columna Autodiscovered IAM Role, seleccione el rol de IAM que creó anteriormente.

Para más información, consulte Find an IAM role within your Splunk platform instance en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros.

  1. En el panel de control de Splunk, vaya a Splunk Add-on for AWS.

  2. Elija Input.

  3. Elija Create New Input.

  4. En la lista, elija Tipo de datos personalizado y, a continuación, seleccione CloudWatch Registros.

  5. Proporcione el nombre, la cuenta de AWS, la región de AWS y el grupo de registros de sus registros de Network Firewall.

  6. Seleccione Save.

De manera predeterminada, Splunk recupera los datos del registro cada 10 minutos. Se trata de un parámetro configurable en Advanced Settings. Para obtener más información, consulte Configurar una entrada de CloudWatch registros mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk

Configure la recuperación de las métricas de Network Firewall desde CloudWatch.

  1. En el panel de control de Splunk, vaya a Splunk Add-on for AWS.

  2. Elija Input.

  3. Elija Create New Input.

  4. En la lista, elija CloudWatch.

  5. Proporcione el nombre, la cuenta de AWS, la región de AWS para las métricas de Network Firewall.

  6. Junto a Metric Configuration, elija Edit in advanced mode.

  7. (Opcional) Elimine todos los espacios de nombres preconfigurados. 

  8. Elija Agregar espacio de nombres y, a continuación, asígnele el nombre AWS/. NetworkFirewall

  9. En Dimension Value, agregue lo siguiente.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. En Metrics, elija All.

  11. En Metric Statistics, elija Sum.

  12. Seleccione Aceptar.

  13. Seleccione Save.

De manera predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en Advanced Settings. Para obtener más información, consulte Configurar una CloudWatch entrada mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Vea las direcciones IP de origen principal.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro enter search here, introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Esta consulta muestra una tabla de las direcciones IP de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualization.

Administrador de Splunk

Vea las estadísticas de los paquetes.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro enter search here, introduzca lo siguiente.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Esta consulta muestra una tabla con las métricas DroppedPackets, PassedPackets y ReceivedPackets por minuto.

  3. Para obtener una representación gráfica, elija Visualization.

Administrador de Splunk

Vea los puertos de origen más utilizados.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro enter search here, introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Esta consulta muestra una tabla de los puertos de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualization.

Administrador de Splunk

Recursos relacionados

Documentación de AWS

Publicaciones del blog de AWS

AWS Marketplace