기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Splunk를 사용하여 AWS Network Firewall 로그 및 지표 보기
*Ivo Pinto, Amazon Web Services*
## 요약
많은 조직에서 [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html)를 다양한 소스의 로그 및 지표에 대한 중앙 집중식 집계 및 시각화 도구로 사용합니다.이 패턴을 사용하면 AWS용 Splunk 추가 기능을 사용하여 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)에서 AWS [Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 로그 및 지표를 가져오도록 Splunk를 구성할 수 있습니다.
이를 위해 읽기 전용 AWS Identity and Access Management(IAM) 역할을 생성합니다. AWS용 Splunk 추가 기능은이 역할을 사용하여 CloudWatch에 액세스합니다. CloudWatch에서 지표와 로그를 가져오도록 AWS용 Splunk 추가 기능을 구성합니다. 마지막으로 검색된 로그 데이터 및 지표에서 Splunk의 시각화를 생성합니다.
## 사전 조건 및 제한 사항
**사전 조건 **
+ [Splunk](https://www.splunk.com/) 계정
+ Splunk Enterprise 인스턴스, 버전 8.2.2 이상
+ 활성 상태의 AWS 계정
+ CloudWatch Logs로 로그를 전송하도록 [설정](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) 및 [구성된](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) Network Firewall
**제한 사항 **
+ Splunk Enterprise는 AWS 클라우드에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 클러스터로 배포해야 합니다.
+ Amazon EC2에 대해 자동으로 검색된 IAM 역할을 사용하여 데이터를 수집하는 것은 AWS 중국 리전에서 지원되지 않습니다.
## 아키텍처
![\[AWS Network Firewall 및 Splunk 로깅 아키텍처\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
다이어그램은 다음을 보여 줍니다.
1. Network Firewall은 CloudWatch Logs에 로그를 게시합니다.
1. Splunk Enterprise는 CloudWatch에서 지표와 로그를 검색합니다.
이 아키텍처에서 예시 지표와 로그를 채우기 위해 워크로드는 Network Firewall 엔드포인트를 통과하여 인터넷으로 이동하는 트래픽을 생성합니다. 이는 [라우팅 테이블](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables)을 사용하여 달성됩니다.이 패턴은 단일 Amazon EC2 인스턴스를 워크로드로 사용하지만, Network Firewall이 CloudWatch Logs로 로그를 전송하도록 구성된 한이 패턴은 모든 아키텍처에 적용될 수 있습니다.
또한이 아키텍처는 다른 Virtual Private Cloud(VPC)의 Splunk Enterprise 인스턴스를 사용합니다. 그러나 Splunk 인스턴스는 CloudWatch API에 도달할 수 있는 한 같은 VPC와 같은 다른 위치에 있을 수 있습니다.
## 도구
**서비스**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)는 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 중앙 집중화하여 모니터링하고 안전하게 보관할 수 있도록 도와줍니다.
+ [Amazon Elastic Compute Cloud(Amazon EC2)](https://docs.aws.amazon.com/ec2/)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)은 AWS Cloud를 위한 상태 저장형, 관리형 네트워크 방화벽이자, 침입 탐지 및 방지 서비스입니다.
**기타 도구**
+ [Splunk](https://www.splunk.com/)는 로그 데이터를 모니터링, 시각화 및 분석하는 데 도움이 됩니다.
## 에픽
### IAM 역할 생성
| 작업 | 설명 | 필요한 기술 |
| --- | --- | --- |
| IAM 정책을 생성합니다. | [JSON 편집기를 사용하여 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)의 지침에 따라 CloudWatch Logs 데이터 및 CloudWatch 지표에 대한 읽기 전용 액세스 권한을 부여하는 IAM 정책을 생성합니다. 다음 정책을 JSON 편집기에 붙여넣습니다.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | 관리자 |
| 새 IAM 역할을 생성합니다. | [AWS 서비스에 권한을 위임하는 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)의 지침에 따라 AWS용 Splunk 추가 기능이 CloudWatch에 액세스하는 데 사용하는 IAM 역할을 생성합니다. **권한 정책**에서 사용자가 만든 정책을 선택합니다. | 관리자 |
| Splunk 클러스터의 EC2 인스턴스에 IAM 역할을 할당합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | 관리자 |
### AWS WAF용 애드온을 설치합니다.
| 작업 | 설명 | 필요한 기술 |
| --- | --- | --- |
| 추가 기능을 설치합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 관리자 |
| AWS 보안 인증 정보를 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)자세한 내용은 [Splunk 설명서의 Splunk 플랫폼 인스턴스에서 IAM 역할 찾기를 참조하세요](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance). | Splunk 관리자 |
### CloudWatch에 대한 Splunk 액세스 구성
| 작업 | 설명 | 필요한 기술 |
| --- | --- | --- |
| CloudWatch Logs에서 Network Firewall 로그 검색을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)기본적으로 Splunk는 10분마다 로그 데이터를 가져옵니다. 이는 **고급 설정**에서 구성 가능한 파라미터입니다. 자세한 내용은 [Splunk 설명서의 Splunk Web을 사용하여 CloudWatch Logs 입력 구성을](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) 참조하세요. | Splunk 관리자 |
| CloudWatch에서 Network Firewall 지표 검색을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)기본적으로 Splunk는 5분마다 지표 데이터를 가져옵니다. 이는 **고급 설정**에서 구성 가능한 파라미터입니다. 자세한 내용은 [Splunk 설명서의 Splunk Web을 사용하여 CloudWatch 입력 구성을](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) 참조하세요. | Splunk 관리자 |
### 쿼리를 사용하여 Splunk 시각화 생성
| 작업 | 설명 | 필요한 기술 |
| --- | --- | --- |
| 상위 소스 IP 주소를 확인합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 관리자 |
| 패킷 통계를 봅니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 관리자 |
| 가장 많이 사용되는 소스 포트를 확인합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 관리자 |
## 관련 리소스
**AWS 설명서**
+ [역할을 생성하여 IAM 사용자에게 권한 위임](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)(IAM 설명서)
+ [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start)(IAM 설명서)
+ [AWS Network Firewall의 로깅 및 모니터링](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html)(Network Firewall 설명서)
+ [AWS Network Firewall의 라우팅 테이블 구성](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html)(Network Firewall 설명서)
**AWS Blog 게시물**
+ [AWS Network Firewall 배포 모델](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image(AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)