As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Envie AWS WAF registros para o Splunk usando o AWS Firewall Manager Amazon Data Firehose
*Michael Friedenthal, Aman Kaur Gandhi e JJ Johnson, Amazon Web Services*
## Resumo
Historicamente, havia duas maneiras de mover dados para o Splunk: uma arquitetura push ou pull. Uma *arquitetura pull* oferece garantias de entrega de dados por meio de novas tentativas, mas requer recursos dedicados no Splunk para pesquisar dados. As arquiteturas Pull geralmente não são em tempo real por causa da pesquisa. Uma *arquitetura push* normalmente tem menor latência, é mais escalável e reduz a complexidade operacional e os custos. No entanto, isso não garante a entrega e normalmente requer agentes.
A integração do Splunk com o Amazon Data Firehose fornece dados de fluxos em tempo real ao Splunk por meio de um coletor de eventos HTTP (HEC, na sigla em inglês). Essa integração oferece as vantagens das arquiteturas push e pull – ela garante a entrega de dados por meio de novas tentativas, é quase em tempo real e tem baixa latência e baixa complexidade. O HEC envia dados de forma rápida e eficiente por HTTP ou HTTPS diretamente para o Splunk. HECs são baseados em tokens, o que elimina a necessidade de codificar credenciais em um aplicativo ou em arquivos de suporte.
Em uma AWS Firewall Manager política, você pode configurar o registro para todo o tráfego de ACL AWS WAF da web em todas as suas contas e, em seguida, usar um stream de entrega do Firehose para enviar esses dados de registro ao Splunk para monitoramento, visualização e análise. Essa solução oferece os seguintes benefícios:
+ Gerenciamento central e registro do tráfego de ACL AWS WAF da web em todas as suas contas
+ Integração do Splunk com um único Conta da AWS
+ Escalabilidade
+ Entrega quase em tempo real dos dados de log
+ Otimização de custos por meio do uso de uma solução de tecnologia sem servidor, para que você não precise pagar por recursos não utilizados.
## Pré-requisitos e limitações
**Pré-requisitos **
+ Um ativo Conta da AWS que faz parte de uma organização em AWS Organizations.
+ É necessário ter as seguintes permissões para habilitar o registro em log com o Firehose:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
+ AWS WAF e sua web ACLs deve ser configurada. Para obter instruções, consulte [Introdução ao AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html).
+ AWS Firewall Manager deve ser configurado. Para obter instruções, consulte [AWS Firewall Manager prerequisites](https://docs.aws.amazon.com/waf/latest/developerguide/fms-prereq.html).
+ As políticas de segurança do Firewall Manager AWS WAF devem ser configuradas. Para obter instruções, consulte [Introdução às AWS Firewall ManagerAWS WAF políticas](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ O Splunk deve estar configurado com um endpoint HTTP público que possa ser acessado pelo Firehose.
**Limitações**
+ Eles Contas da AWS devem ser gerenciados em uma única organização em AWS Organizations.
+ A Web ACL deve estar na mesma região do que o fluxo de entrega. Se você estiver capturando registros para a Amazon CloudFront, crie o stream de entrega do Firehose na região Leste dos EUA (Norte da Virgínia),. `us-east-1`
+ O complemento do Splunk para o Firehose está disponível para implantações do Splunk Cloud com licença paga, para implementações distribuídas do Splunk Enterprise e para implementações de instância única do Splunk Enterprise. Esse complemento não é compatível com implantações de teste gratuito do Splunk Cloud.
## Arquitetura
**Pilha de tecnologias de destino**
+ Firewall Manager
+ Firehose
+ Amazon Simple Storage Service (Amazon S3)
+ AWS WAF
+ Splunk
**Arquitetura de destino**
A imagem a seguir mostra como você pode usar o Firewall Manager para registrar centralmente todos os AWS WAF dados e enviá-los ao Splunk por meio do Firehose.
![\[Diagrama da arquitetura ilustrando o envio de dados de log do AWS WAF para o Splunk por meio do Amazon Data Firehose.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/3dfeaae0-985a-42b8-91c4-ece081f0b51b/images/669169b1-caa4-419b-9988-19806ded54eb.png)
1. A AWS WAF web ACLs envia dados de registro do firewall para o Firewall Manager.
1. O Firewall Manager encaminha os dados de log para o Firehose.
1. O fluxo de entrega do Firehose envia os dados de log para o Splunk e para um bucket do S3. O bucket do S3 atua como um backup no caso de um erro com o stream de entrega do Firehose.
**Automação e escala**
Essa solução foi projetada para escalar e acomodar toda a AWS WAF web ALCs dentro da organização. Você pode configurar toda ACLs a web para usar a mesma instância do Firehose. No entanto, se desejar configurar e usar múltiplas instâncias do Firehose, isso também é possível.
## Ferramentas
**Serviços da AWS**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)é um serviço de gerenciamento de segurança que ajuda você a configurar e gerenciar centralmente as regras de firewall em suas contas e aplicativos em AWS Organizations.
+ [O Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) ajuda você a entregar [dados de streaming](https://aws.amazon.com/streaming-data/) em tempo real para outros Serviços da AWS endpoints HTTP personalizados e endpoints HTTP de propriedade de provedores de serviços terceirizados compatíveis, como o Splunk.
+ O [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) é um serviço de armazenamento de objetos baseado na nuvem que ajuda você a armazenar, proteger e recuperar qualquer quantidade de dados.
+ O [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) é um firewall para aplicações web que ajuda a monitorar solicitações HTTP e HTTPS encaminhadas aos recursos da sua aplicação web protegida.
**Outras ferramentas**
+ O [Splunk](https://docs.splunk.com/Documentation) ajuda você a monitorar, visualizar e analisar dados de log.
## Épicos
### Configurar o Splunk
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Instale o aplicativo Splunk para AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Administrador de segurança, administrador do Splunk |
| Instale o complemento para AWS WAF. | Repita as instruções anteriores para instalar o **complemento do AWS Web Application Firewall** para o Splunk. | Administrador de segurança, administrador do Splunk |
| Faça a instalação e configuração do complemento do Splunk para o Firehose. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html) | Administrador de segurança, administrador do Splunk |
### Criação do fluxo de entrega do Firehose
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Conceda ao Firehose acesso a um destino do Splunk. | Configure a política de acesso que autoriza o Firehose a acessar um destino do Splunk e a armazenar os dados de log em backup em um bucket do S3. Para obter mais informações, consulte [Grant Firehose access to a Splunk destination](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-splunk). | Administrador de segurança |
| Crie um fluxo de entrega do Firehose. | Na mesma conta em que você gerencia a web ACLs AWS WAF, crie um stream de entrega no Firehose. Você precisa ter um perfil do IAM ao criar um fluxo de entrega. O Firehose assume esse perfil do IAM e obtém acesso ao bucket do S3 especificado. Para obter instruções, consulte [Criação de um stream de entrega](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html). Observe o seguinte:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/send-aws-waf-logs-to-splunk-by-using-aws-firewall-manager-and-amazon-data-firehose.html)Repita esse processo para cada token que você configurou no coletor de eventos HTTP. | Administrador de segurança |
| Teste o fluxo de entrega. | Teste o stream de entrega para validar se ele está configurado corretamente. Para obter instruções, consulte [Test using Splunk as the destination](https://docs.aws.amazon.com/firehose/latest/dev/test-drive-firehose.html#test-drive-destination-splunk) na documentação do Firehose. | Administrador de segurança |
### Configure o Firewall Manager para registrar dados
| Tarefa | Description | Habilidades necessárias |
| --- | --- | --- |
| Configure as políticas do Firewall Manager. | As políticas do Firewall Manager devem estar configuradas para habilitar o registro em log e encaminhar os logs para o fluxo de entrega correto do Firehose. Para obter mais informações e instruções, consulte [Como configurar o registro em log para uma AWS WAF política](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config). | Administrador de segurança |
## Recursos relacionados
**AWS recursos**
+ [Registrando tráfego de ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) (AWS WAF documentação)
+ [Configurando o registro em log para uma AWS WAF política](https://docs.aws.amazon.com/waf/latest/developerguide/waf-policies.html#waf-policies-logging-config) (AWS WAF documentação)
+ [Tutorial: Sending VPC Flow Logs to Splunk Using Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/vpc-splunk-tutorial.html) (documentação do Firehose)
+ [How do I push VPC flow logs to Splunk using Amazon Data Firehose?](https://aws.amazon.com/premiumsupport/knowledge-center/push-flow-logs-splunk-firehose/) (Centro de AWS conhecimento)
+ [Potencialize a ingestão de dados no Splunk usando o Amazon Data Firehose](https://aws.amazon.com/blogs/big-data/power-data-ingestion-into-splunk-using-amazon-kinesis-data-firehose/) (postagem no blog)AWS
**Documentação do Splunk**
+ [Splunk Add-on for Amazon Data Firehose](https://docs.splunk.com/Documentation/AddOns/released/Firehose/About)