Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados

Visualização de logs e métricas do AWS Network Firewall usando o Splunk

Ivo Pinto, Amazon Web Services

Resumo

Muitas organizações usam o Splunk Enterprise como uma ferramenta centralizada de agregação e visualização para registros e métricas de diferentes fontes. Esse padrão ajuda você a configurar o Splunk para buscar registros e métricas do AWS Network Firewall do Amazon CloudWatch Logs usando o complemento Splunk para AWS.

Para atingir esse objetivo, é necessário criar um perfil do AWS Identity and Access Management (IAM) com acesso somente para leitura. O complemento Splunk para AWS usa essa função para acessar. CloudWatch Você configura o complemento Splunk para AWS para buscar métricas e registros do. CloudWatch Por fim, você criará visualizações no Splunk usando os dados de logs e métricas recuperados.

Pré-requisitos e limitações

Pré-requisitos

Uma conta do Splunk
Uma instância do Splunk Enterprise, versão 8.2.2 ou versões posteriores
Uma conta AWS ativa
Firewall de rede, configurado e configurado para enviar registros para o CloudWatch Logs

Limitações

O Splunk Enterprise deve ser implantado como um cluster de instâncias do Amazon Elastic Compute Cloud (Amazon EC2) na Nuvem AWS.
A coleta de dados usando um perfil do IAM automaticamente descoberto para o Amazon EC2 não é compatível nas regiões da AWS localizadas na China.

Arquitetura

O diagrama ilustra o seguinte:

O Network Firewall publica registros em CloudWatch Logs.
O Splunk Enterprise recupera métricas e registros de. CloudWatch

Para preencher métricas e logs de exemplo nesta arquitetura, uma workload gera tráfego que passa pelo endpoint do Network Firewall para se conectar à internet. Isso é obtido pelo uso de tabelas de rotas. Embora esse padrão use uma única instância do Amazon EC2 como carga de trabalho, esse padrão pode ser aplicado a qualquer arquitetura, desde que o Network Firewall esteja configurado para enviar registros para Logs. CloudWatch

Essa arquitetura também usa uma instância do Splunk Enterprise em outra nuvem privada virtual (VPC). No entanto, a instância do Splunk pode estar em outro local, como na mesma VPC da carga de trabalho, desde que possa alcançar o. CloudWatch APIs

Ferramentas

Serviços da AWS

O Amazon CloudWatch Logs ajuda você a centralizar os registros de todos os seus sistemas, aplicativos e serviços da AWS para que você possa monitorá-los e arquivá-los com segurança.
O Amazon Elastic Compute Cloud (Amazon EC2) oferece capacidade computacional escalável na Nuvem AWS. Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.
O AWS Network Firewall é um firewall de rede gerenciado e monitorado, além de um serviço de detecção e prevenção de intrusões VPCs na nuvem da AWS.

Outras ferramentas

O Splunk ajuda você a monitorar, visualizar e analisar dados de log.

Épicos

Tarefa Description Habilidades necessárias

Tarefa	Description	Habilidades necessárias
Crie a política do IAM.	Siga as instruções em Como criar políticas usando o editor JSON para criar a política do IAM que concede acesso somente para leitura aos dados e métricas do CloudWatch Logs. CloudWatch Cole a política a seguir no editor de JSON. `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	Administrador da AWS
Crie um novo perfil do IAM.	Siga as instruções em Criação de uma função para delegar permissões a um serviço da AWS para criar a função do IAM que o complemento Splunk para AWS usa para acessar. CloudWatch Em Políticas de permissões, escolha a política que você criou anteriormente.	Administrador da AWS
Atribua o perfil do IAM às instâncias do EC2 presentes no cluster do Splunk.	Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/. No painel de navegação, escolha Instâncias. Selecione as instâncias do EC2 presentes no cluster do Splunk. Selecione Ações, Segurança e, em seguida, Modificar perfil do IAM. Selecione o perfil do IAM criado anteriormente e, na sequência, clique em Salvar.	Administrador da AWS

Crie a política do IAM.

Siga as instruções em Como criar políticas usando o editor JSON para criar a política do IAM que concede acesso somente para leitura aos dados e métricas do CloudWatch Logs. CloudWatch Cole a política a seguir no editor de JSON.


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

Administrador da AWS

Crie um novo perfil do IAM.

Siga as instruções em Criação de uma função para delegar permissões a um serviço da AWS para criar a função do IAM que o complemento Splunk para AWS usa para acessar. CloudWatch Em Políticas de permissões, escolha a política que você criou anteriormente.

Administrador da AWS

Atribua o perfil do IAM às instâncias do EC2 presentes no cluster do Splunk.

Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
No painel de navegação, escolha Instâncias.
Selecione as instâncias do EC2 presentes no cluster do Splunk.
Selecione Ações, Segurança e, em seguida, Modificar perfil do IAM.
Selecione o perfil do IAM criado anteriormente e, na sequência, clique em Salvar.

Administrador da AWS

Tarefa	Description	Habilidades necessárias
Instale o complemento .	No painel do Splunk, acesse Splunk Apps. Pesquise por Splunk Add-on para Amazon Web Services. Escolha Instalar. Informe suas credenciais do Splunk.	Administrador do Splunk
Configure as credenciais da AWS.	No painel do Splunk, acesse Splunk Add-on para AWS. Escolher configuração. Na coluna Perfil do IAM descoberto automaticamente, selecione o perfil do IAM que você criou anteriormente. Para obter mais informações, consulte Find an IAM role within your Splunk platform instance na documentação do Splunk.	Administrador do Splunk

Tarefa	Description	Habilidades necessárias
Configure a recuperação dos registros do Firewall de Rede a partir dos CloudWatch Registros.	No painel do Splunk, acesse Splunk Add-on para AWS. Escolha Entrada. Selecione Criar nova entrada. Na lista, escolha Tipo de dados personalizado e, em seguida, escolha CloudWatch Registros. Informe o Nome, a Conta da AWS, a Região da AWS e o Grupo de logs para os logs do Network Firewall. Escolha Salvar. Por padrão, o Splunk busca os dados de logs a cada dez minutos. Esse é um parâmetro configurável em Configurações avançadas. Para obter mais informações, consulte Configurar uma entrada de CloudWatch registros usando o Splunk Web na documentação do Splunk.	Administrador do Splunk
Configure a recuperação das métricas do Network Firewall de CloudWatch.	No painel do Splunk, acesse Splunk Add-on para AWS. Escolha Entrada. Selecione Criar nova entrada. Na lista, escolha CloudWatch. Informe o Nome, a Conta da AWS e a Região da AWS para as métricas do Network Firewall. Ao lado de Configuração métrica, escolha Editar no modo avançado. (Opcional) Exclua todos os namespaces configurados previamente. Escolha Adicionar namespace e, em seguida, nomeie-o como AWS/. NetworkFirewall Em Valor da dimensão, adicione o valor apresentado a seguir. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` Em Métricas, escolha Todas. Em Estatísticas de métricas, selecione Soma. Escolha OK. Escolha Salvar. Por padrão, o Splunk busca os dados de métricas a cada cinco minutos. Esse é um parâmetro configurável em Configurações avançadas*. Para obter mais informações, consulte Configurar uma CloudWatch entrada usando o Splunk Web na documentação do Splunk.	Administrador do Splunk

Tarefa	Description	Habilidades necessárias
Visualize os principais endereços IP de origem.	No painel do Splunk, acesse Search & Reporting. Na caixa digite a pesquisa aqui, insira as informações apresentadas a seguir. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` Essa consulta exibe uma tabela com os endereços IP de origem que geraram mais tráfego, em ordem decrescente. Para obter uma representação gráfica, escolha Visualização.	Administrador do Splunk
Visualize as estatísticas de pacotes.	No painel do Splunk, acesse Search & Reporting. Na caixa digite a pesquisa aqui, insira as informações apresentadas a seguir. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` Esta consulta exibe uma tabela com as métricas `DroppedPackets`, `PassedPackets` e `ReceivedPackets` por minuto. Para obter uma representação gráfica, escolha Visualização.	Administrador do Splunk
Visualize as portas de origem mais usadas.	No painel do Splunk, acesse Search & Reporting. Na caixa digite a pesquisa aqui, insira as informações apresentadas a seguir. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` Essa consulta exibe uma tabela com as portas de origem que geraram mais tráfego, em ordem decrescente. Para obter uma representação gráfica, escolha Visualização.	Administrador do Splunk

Recursos relacionados

Documentação da AWS

Criar um perfil para delegar permissões a um serviço da AWS (documentação do IAM)
Criação de políticas do IAM (Documentação do IAM)
Logging and monitoring in AWS Network Firewall(documentação do Network Firewall)
Route table configurations for AWS Network Firewall (documentação do Network Firewall)

Publicações do blog da AWS

AWS Network Firewall deployment models

AWS Marketplace

Splunk Enterprise Amazon Machine Image (AMI)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Mais padrões