Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Visualizza i log e i parametri di AWS Network Firewall utilizzando Splunk *Ivo Pinto, Amazon Web Services* ## Riepilogo Molte organizzazioni utilizzano [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) come strumento centralizzato di aggregazione e visualizzazione per log e metriche provenienti da diverse fonti. Questo modello ti aiuta a configurare Splunk per recuperare i log e i parametri di [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) da [ CloudWatch Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) Logs utilizzando il componente aggiuntivo Splunk per AWS.  A tal fine, crei un ruolo AWS Identity and Access Management (IAM) di sola lettura. Splunk Add-On for AWS utilizza questo ruolo per accedere. CloudWatch Puoi configurare il componente aggiuntivo Splunk per AWS da cui recuperare metriche e log. CloudWatch Infine, crei visualizzazioni in Splunk a partire dai dati e dalle metriche dei log recuperati. ## Prerequisiti e limitazioni **Prerequisiti** + [Un account Splunk](https://www.splunk.com/) + Un'istanza Splunk Enterprise, versione 8.2.2 o successiva  + Un account AWS attivo + Network Firewall, [configurato](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) [e configurato](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) per inviare log a CloudWatch Logs **Limitazioni** + Splunk Enterprise deve essere distribuito come cluster di istanze Amazon Elastic Compute Cloud (Amazon EC2) nel cloud AWS. + La raccolta di dati utilizzando un ruolo IAM scoperto automaticamente per Amazon EC2 non è supportata nelle regioni AWS Cina. ## Architecture ![\[Architettura di registrazione AWS Network Firewall e Splunk\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png) Il diagramma illustra quanto segue: 1. Network Firewall pubblica i log in Logs. CloudWatch 1. Splunk Enterprise recupera metriche e log da. CloudWatch Per compilare metriche e log di esempio in questa architettura, un carico di lavoro genera traffico che attraversa l'endpoint Network Firewall per andare a Internet. [Questo risultato è ottenuto mediante l'uso di tabelle di routing.](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables) Sebbene questo modello utilizzi una singola istanza Amazon EC2 come carico di lavoro, può essere applicato a qualsiasi architettura purché Network Firewall sia configurato per inviare log a Logs. CloudWatch Questa architettura utilizza anche un'istanza Splunk Enterprise in un altro cloud privato virtuale (VPC). Tuttavia, l'istanza Splunk può trovarsi in un'altra posizione, ad esempio nello stesso VPC del carico di lavoro, purché possa raggiungere il. CloudWatch APIs ## Tools (Strumenti) **Servizi AWS** + [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) ti aiuta a centralizzare i log di tutti i tuoi sistemi, applicazioni e servizi AWS in modo da poterli monitorare e archiviare in modo sicuro. + [Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2](https://docs.aws.amazon.com/ec2/)) fornisce capacità di calcolo scalabile nel cloud AWS. Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente. + [AWS Network Firewall è un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) di rete a stato gestito e un servizio di rilevamento e prevenzione delle intrusioni VPCs nel cloud AWS. **Altri strumenti** + [Splunk](https://www.splunk.com/) ti aiuta a monitorare, visualizzare e analizzare i dati di registro. ## Epiche ### Creazione di un ruolo IAM | Operazione | Description | Competenze richieste | | --- | --- | --- | | Creare la policy IAM. | Segui le istruzioni in [Creazione di policy using the JSON editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) per creare la policy IAM che garantisce l'accesso in sola lettura ai dati e alle metriche dei CloudWatch Logs. CloudWatch Incollare la seguente policy nell'editor JSON.
{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
| Amministratore AWS | | Crea un nuovo ruolo IAM. | Segui le istruzioni in [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) creare il ruolo IAM a cui il componente aggiuntivo Splunk per AWS utilizza per accedere. CloudWatch Per le **politiche di autorizzazione**, scegli la politica che hai creato in precedenza. | Amministratore AWS | | Assegna il ruolo IAM alle istanze EC2 nel cluster Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore AWS | ### Installa il componente aggiuntivo Splunk per AWS | Operazione | Description | Competenze richieste | | --- | --- | --- | | Installa il componente aggiuntivo . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk | | Configura le credenziali AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per ulteriori informazioni, consulta [Trova un ruolo IAM all'interno dell'istanza della piattaforma Splunk nella documentazione](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) Splunk. | Amministratore Splunk | ### Configura l'accesso Splunk a CloudWatch | Operazione | Description | Competenze richieste | | --- | --- | --- | | Configurare il recupero dei log del Network Firewall dai registri. CloudWatch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per impostazione predefinita, Splunk recupera i dati di registro ogni 10 minuti. **Questo è un parametro configurabile in Impostazioni avanzate.** Per ulteriori informazioni, consulta [Configurare un input di CloudWatch log utilizzando Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) nella documentazione di Splunk. | Amministratore Splunk | | Configura il recupero delle metriche del Network Firewall da. CloudWatch | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Per impostazione predefinita, Splunk recupera i dati metrici ogni 5 minuti. **Questo è un parametro configurabile in Impostazioni avanzate.** Per ulteriori informazioni, consulta [Configurare un CloudWatch input utilizzando Splunk Web nella documentazione](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) di Splunk. | Amministratore Splunk | ### Crea visualizzazioni Splunk utilizzando le query | Operazione | Description | Competenze richieste | | --- | --- | --- | | Visualizza i principali indirizzi IP di origine. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk | | Visualizza le statistiche sui pacchetti. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk | | Visualizza le porte di origine più utilizzate. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Amministratore Splunk | ## Risorse correlate **Documentazione AWS** + [Creazione di un ruolo per delegare le autorizzazioni a un servizio AWS (documentazione](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) IAM) + [Creazione di politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentazione IAM) + [Registrazione e monitoraggio in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentazione Network Firewall) + [Configurazioni della tabella di routing per AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentazione Network Firewall) **Post sul blog di AWS** + [Modelli di implementazione di AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) **AWS Marketplace** + [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)