Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Consultez les journaux et les statistiques d'AWS Network Firewall à l'aide de Splunk
*Ivo Pinto, Amazon Web Services*
## Résumé
De nombreuses organisations utilisent [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) comme outil centralisé d'agrégation et de visualisation pour les journaux et les métriques provenant de différentes sources. Ce modèle vous permet de configurer Splunk pour récupérer les journaux et les métriques d'[AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) depuis [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) à l'aide du module complémentaire Splunk pour AWS.
Pour ce faire, vous créez un rôle AWS Identity and Access Management (IAM) en lecture seule. Le module complémentaire Splunk pour AWS utilise ce rôle pour accéder CloudWatch. Vous configurez le module complémentaire Splunk pour AWS afin de récupérer les métriques et les journaux. CloudWatch Enfin, vous créez des visualisations dans Splunk à partir des données de journal et des métriques récupérées.
## Conditions préalables et limitations
**Conditions préalables**
+ Un [compte Splunk](https://www.splunk.com/)
+ Une instance Splunk Enterprise, version 8.2.2 ou ultérieure
+ Un compte AWS actif
+ Network Firewall, [configuré](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) et [configuré pour](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) envoyer des CloudWatch journaux à Logs
**Limites**
+ Splunk Enterprise doit être déployé sous la forme d'un cluster d'instances Amazon Elastic Compute Cloud (Amazon EC2) dans le cloud AWS.
+ La collecte de données à l'aide d'un rôle IAM découvert automatiquement pour Amazon EC2 n'est pas prise en charge dans les régions AWS Chine.
## Architecture
Le diagramme illustre les éléments suivants :
1. Network Firewall publie les journaux dans CloudWatch Logs.
1. Splunk Enterprise extrait les métriques et les journaux à partir de. CloudWatch
Pour renseigner des exemples de métriques et de journaux dans cette architecture, une charge de travail génère du trafic qui passe par le point de terminaison Network Firewall pour accéder à Internet. Ceci est réalisé grâce à l'utilisation de [tables de routage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Bien que ce modèle utilise une seule instance Amazon EC2 comme charge de travail, il peut s'appliquer à n'importe quelle architecture tant que Network Firewall est configuré pour envoyer des journaux à CloudWatch Logs.
Cette architecture utilise également une instance Splunk Enterprise dans un autre cloud privé virtuel (VPC). Cependant, l'instance Splunk peut se trouver dans un autre emplacement, par exemple dans le même VPC que la charge de travail, à condition qu'elle puisse atteindre le. CloudWatch APIs
## Outils
**Services AWS**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) vous aide à centraliser les journaux de tous vos systèmes, applications et services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.
+ [Amazon Elastic Compute Cloud (Amazon EC2](https://docs.aws.amazon.com/ec2/)) fournit une capacité de calcul évolutive dans le cloud AWS. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.
+ [AWS Network Firewall est un pare-feu réseau](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions VPCs destiné au cloud AWS.
**Autres outils**
+ [Splunk](https://www.splunk.com/) vous aide à surveiller, à visualiser et à analyser les données des journaux.
## Épopées
### Créer un rôle IAM
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez la politique IAM. | Suivez les instructions de la section [Création de politiques à l'aide de l'éditeur JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) pour créer la politique IAM qui accorde un accès en lecture seule aux données et aux métriques CloudWatch des journaux. CloudWatch Collez le politique suivante dans l’éditeur JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Administrateur AWS |
| Créez un nouveau rôle IAM. | Suivez les instructions de la [section Création d'un rôle pour déléguer des autorisations à un service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) afin de créer le rôle IAM auquel le module complémentaire Splunk pour AWS utilise pour accéder. CloudWatch Pour **les politiques d'autorisations**, choisissez la politique que vous avez créée précédemment. | Administrateur AWS |
| Attribuez le rôle IAM aux instances EC2 du cluster Splunk. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur AWS |
### Installation du module complémentaire Splunk pour AWS
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Installez le module complémentaire . | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Configurez les informations d'identification AWS. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Pour plus d'informations, consultez la section [Trouver un rôle IAM au sein de votre instance de plateforme Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) dans la documentation Splunk. | Administrateur Splunk |
### Configurez l'accès Splunk à CloudWatch
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez la récupération des journaux de Network Firewall à partir de CloudWatch Logs. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Par défaut, Splunk récupère les données du journal toutes les 10 minutes. Il s'agit d'un paramètre configurable dans **les paramètres avancés**. Pour plus d'informations, consultez [Configurer une entrée de CloudWatch logs à l'aide de Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) dans la documentation Splunk. | Administrateur Splunk |
| Configurez la récupération des métriques de Network Firewall à partir de CloudWatch. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Par défaut, Splunk récupère les données métriques toutes les 5 minutes. Il s'agit d'un paramètre configurable dans **les paramètres avancés**. Pour plus d'informations, consultez [Configurer une CloudWatch entrée à l'aide de Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) dans la documentation Splunk. | Administrateur Splunk |
### Créez des visualisations Splunk à l'aide de requêtes
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Consultez les principales adresses IP sources. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Afficher les statistiques des paquets. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Consultez les ports sources les plus utilisés. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
## Ressources connexes
**Documentation AWS**
+ [Création d'un rôle pour déléguer des autorisations à un service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (documentation IAM)
+ [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentation IAM)
+ [Journalisation et surveillance dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentation Network Firewall)
+ [Configurations des tables de routage pour AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentation Network Firewall)
**Articles de blog AWS**
+ [Modèles de déploiement d'AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Image de machine Amazon (AMI) de Splunk Enterprise](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)