Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Visualización de los registros y las métricas de AWS Network Firewall mediante Splunk *Ivo Pinto, Amazon Web Services* ## Resumen Muchas organizaciones utilizan [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) como una herramienta centralizada de agregación y visualización de registros y métricas de diferentes fuentes. Este patrón le ayuda a configurar Splunk para obtener registros y métricas de [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) de [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) mediante el complemento Splunk para AWS.  Para ello, cree un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk para AWS utiliza esta función para acceder CloudWatch. Debe configurar el complemento Splunk para que AWS extraiga métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados. ## Requisitos previos y limitaciones **Requisitos previos ** + Una cuenta de [Splunk](https://www.splunk.com/) + Una instancia de Splunk Enterprise, versión 8.2.2 o posterior  + Una cuenta de AWS activa + Network Firewall, [instalado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) y [configurado](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) para enviar CloudWatch registros a Logs **Limitaciones** + Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en la nube de AWS. + La recopilación de datos mediante un rol de IAM detectado automáticamente para Amazon EC2 no está permitida en las regiones de AWS China. ## Arquitectura ![\[Arquitectura de registro de AWS Network Firewall y Splunk\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png) En el siguiente diagrama se ilustra lo siguiente: 1. Network Firewall publica CloudWatch registros en Logs. 1. Splunk Enterprise recupera métricas y registros de. CloudWatch Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto de conexión de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de [rutas](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Si bien este patrón utiliza una única instancia de Amazon EC2 como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar registros a CloudWatch Logs. Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la misma VPC que la carga de trabajo, siempre que pueda llegar a. CloudWatch APIs ## Tools (Herramientas) **Servicios de AWS** + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y servicios de AWS para que pueda supervisarlos y archivarlos de forma segura. + [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) proporciona capacidad de computación escalable en la nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez. + [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) es un servicio de detección y prevención de intrusiones y firewall de red gestionado y con estado para la VPCs nube de AWS. **Otras herramientas** + [Splunk](https://www.splunk.com/) le permite monitorear, visualizar y analizar los datos de registro. ## Epics ### Creación de un rol de IAM | Tarea | Descripción | Habilidades requeridas | | --- | --- | --- | | Creación de la política de IAM. | Siga las instrucciones de la sección [Creación de políticas mediante el editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) para crear la política de IAM que conceda acceso de solo lectura a los datos y las métricas de los CloudWatch registros. CloudWatch Pegue la siguiente política de en el editor JSON.
{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
| Administrador de AWS | | Cree un rol de IAM nuevo. | Siga las instrucciones de [Crear un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) para crear el rol de IAM al que utiliza el complemento Splunk para AWS para acceder. CloudWatch En **Políticas de permisos**, elija la política que creó anteriormente. | Administrador de AWS | | Asigne el rol de IAM a las instancias de EC2 en el clúster de Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de AWS | ### Instale el complemento de Splunk para AWS. | Tarea | Descripción | Habilidades requeridas | | --- | --- | --- | | Instale el complemento . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk | | Configure las credenciales de AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Para más información, consulte [Find an IAM role within your Splunk platform instance](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) en la documentación de Splunk. | Administrador de Splunk | ### Configure el acceso de Splunk a CloudWatch | Tarea | Descripción | Habilidades requeridas | | --- | --- | --- | | Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)De manera predeterminada, Splunk recupera los datos del registro cada 10 minutos. Se trata de un parámetro configurable en **Advanced Settings**. Para obtener más información, consulte [Configurar una entrada de CloudWatch registros mediante Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) en la documentación de Splunk. | Administrador de Splunk | | Configure la recuperación de las métricas de Network Firewall desde CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)De manera predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en **Advanced Settings**. Para obtener más información, consulte [Configurar una CloudWatch entrada mediante Splunk Web en la documentación de Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web). | Administrador de Splunk | ### Creación de visualizaciones de Splunk mediante consultas | Tarea | Descripción | Habilidades requeridas | | --- | --- | --- | | Vea las direcciones IP de origen principal. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk | | Vea las estadísticas de los paquetes. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk | | Vea los puertos de origen más utilizados. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrador de Splunk | ## Recursos relacionados **Documentación de AWS** + [Creación de un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (documentación de IAM) + [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentación de IAM) + [Logging and monitoring in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentación de Network Firewall) + [Route table configurations for AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentación de Network Firewall) **Publicaciones del blog de AWS** + [AWS Network Firewall deployment models](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) **AWS Marketplace** + [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)