本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Splunk 檢視 AWS Network Firewall 日誌和指標
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk"></a>

*Ivo Pinto，Amazon Web Services*

## 摘要
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-summary"></a>

許多組織使用 [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) 做為來自不同來源的日誌和指標的集中彙整和視覺化工具。 此模式可協助您設定 Splunk 使用 Splunk Add-On for [AWS 從 Amazon CloudWatch Logs 擷取 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 日誌和指標。 [Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)  

若要達成此目的，您可以建立唯讀 AWS Identity and Access Management (IAM) 角色。Splunk Add-On for AWS 使用此角色存取 CloudWatch。您可以設定 Splunk Add-On for AWS 以從 CloudWatch 擷取指標和日誌。最後，您可以從擷取的日誌資料和指標，在 Splunk 中建立視覺化效果。

## 先決條件和限制
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-prereqs"></a>

**先決條件**
+ [Splunk](https://www.splunk.com/) 帳戶
+ Splunk Enterprise 執行個體，8.2.2 版或更新版本 
+ 作用中的 AWS 帳戶
+ Network Firewall，[設定](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html)並[設定](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) 將日誌傳送至 CloudWatch Logs

**限制**
+ Splunk Enterprise 必須部署為 AWS 雲端中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體叢集。
+ AWS 中國區域不支援使用自動探索的 Amazon EC2 IAM 角色收集資料。

## Architecture
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-architecture"></a>

![\[AWS Network Firewall 和 Splunk 記錄架構\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)


此圖展示了以下要點：

1. Network Firewall 會將日誌發佈至 CloudWatch Logs。

1. Splunk Enterprise 從 CloudWatch 擷取指標和日誌。

若要在此架構中填入範例指標和日誌，工作負載會產生通過 Network Firewall 端點的流量，以前往網際網路。這是透過使用[路由表](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables)來實現的。 雖然此模式使用單一 Amazon EC2 執行個體做為工作負載，但只要 Network Firewall 設定為將日誌傳送至 CloudWatch Logs，此模式就可以套用至任何架構。

此架構也會在另一個虛擬私有雲端 (VPC) 中使用 Splunk Enterprise 執行個體。不過，Splunk 執行個體可以位於另一個位置，例如與工作負載相同的 VPC，只要它可以到達 CloudWatch APIs。

## 工具
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-tools"></a>

**AWS 服務**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 可協助您集中所有系統、應用程式和 AWS 服務的日誌，以便您可以監控日誌並將其安全地存檔。
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) 在 AWS 雲端中提供可擴展的運算容量。您可以視需要啟動任意數量的虛擬伺服器，，並快速進行擴展或縮減。
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 是 AWS 雲端中 VPCs 具狀態、受管的網路防火牆和入侵偵測和預防服務。

**其他工具**
+ [Splunk](https://www.splunk.com/) 可協助您監控、視覺化和分析日誌資料。

## 史詩
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-epics"></a>

### 建立 IAM 角色
<a name="create-an-iam-role"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 建立 IAM 政策。 | 遵循[使用 JSON 編輯器建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)中的指示，建立授予 CloudWatch Logs 資料和 CloudWatch 指標唯讀存取權的 IAM 政策。將以下 政策貼到 JSON 編輯器。<pre>{<br />    "Statement": [<br />        {<br />            "Action": [<br />                "cloudwatch:List*",<br />                "cloudwatch:Get*",<br />                "network-firewall:List*",<br />                "logs:Describe*",<br />                "logs:Get*",<br />                "logs:List*",<br />                "logs:StartQuery",<br />                "logs:StopQuery",<br />                "logs:TestMetricFilter",<br />                "logs:FilterLogEvents",<br />                "network-firewall:Describe*"<br />            ],<br />            "Effect": "Allow",<br />            "Resource": "*"<br />        }<br />    ],<br />    "Version": "2012-10-17"<br />}</pre> | AWS 管理員 | 
| 建立新的 IAM 角色。 | 遵循[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)中的指示，以建立 Splunk Add-On for AWS 用來存取 CloudWatch 的 IAM 角色。針對**許可政策**，選擇您先前建立的政策。 | AWS 管理員 | 
| 將 IAM 角色指派給 Splunk 叢集中的 EC2 執行個體。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | AWS 管理員 | 

### 安裝適用於 AWS 的 Splunk 附加元件
<a name="install-the-splunk-add-on-for-aws"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 安裝 附加元件。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 管理員 | 
| 設定 AWS 登入資料。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)如需詳細資訊，請參閱 Splunk 文件中的[在 Splunk 平台執行個體中尋找 IAM 角色](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance)。 | Splunk 管理員 | 

### 設定 Splunk 對 CloudWatch 的存取
<a name="configure-splunk-access-to-cloudwatch"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 設定從 CloudWatch Logs 擷取 Network Firewall 日誌。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)根據預設，Splunk 每 10 分鐘擷取一次日誌資料。這是**進階設定**下的可設定參數。如需詳細資訊，請參閱 Splunk 文件中的[使用 Splunk Web 設定 CloudWatch Logs 輸入](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web)。 | Splunk 管理員 | 
| 設定從 CloudWatch 擷取 Network Firewall 指標。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)根據預設，Splunk 每 5 分鐘擷取一次指標資料。這是**進階設定**下的可設定參數。如需詳細資訊，請參閱 Splunk 文件中的[使用 Splunk Web 設定 CloudWatch 輸入](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web)。 | Splunk 管理員 | 

### 使用查詢建立 Splunk 視覺化
<a name="create-splunk-visualizations-by-using-queries"></a>


| 任務 | Description | 所需的技能 | 
| --- | --- | --- | 
| 檢視最高來源 IP 地址。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 管理員 | 
| 檢視封包統計資料。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 管理員 | 
| 檢視最常用的來源連接埠。 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Splunk 管理員 | 

## 相關資源
<a name="view-aws-network-firewall-logs-and-metrics-by-using-splunk-resources"></a>

**AWS 文件**
+ [建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (IAM 文件）
+ [建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (IAM 文件）
+ 在 [AWS Network Firewall 中記錄和監控](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (Network Firewall 文件）
+ [AWS Network Firewall 的路由表組態](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (Network Firewall 文件）

**AWS 部落格文章**
+ [AWS Network Firewall 部署模型](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)

**AWS Marketplace**
+ [Splunk Enterprise Amazon Machine Image (AMI)](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)