Consultez les journaux et les statistiques d'AWS Network Firewall à l'aide de Splunk - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Consultez les journaux et les statistiques d'AWS Network Firewall à l'aide de Splunk

Créée par Ivo Pinto

Environnement : PoC ou pilote

Technologies : mise en réseau, cloud natif, diffusion de contenu, opérations, sécurité, identité, conformité

Charge de travail : toutes les autres charges de travail

Services AWS : Amazon CloudWatch ; Amazon CloudWatch Logs ; AWS Network Firewall

Récapitulatif

De nombreuses organisations utilisent Splunk Enterprise comme outil centralisé d'agrégation et de visualisation pour les journaux et les métriques provenant de différentes sources. Ce modèle vous permet de configurer Splunk pour récupérer les journaux et les métriques d'AWS Network Firewall depuis Amazon CloudWatch Logs à l'aide du module complémentaire Splunk pour AWS. 

Pour ce faire, vous créez un rôle AWS Identity and Access Management (IAM) en lecture seule. Le module complémentaire Splunk pour AWS utilise ce rôle pour accéder CloudWatch. Vous configurez le module complémentaire Splunk pour AWS afin de récupérer les métriques et les journaux. CloudWatch Enfin, vous créez des visualisations dans Splunk à partir des données de journal et des métriques récupérées.

Conditions préalables et limitations

Prérequis

Limites

  • Splunk Enterprise doit être déployé sous la forme d'un cluster d'instances Amazon Elastic Compute Cloud (Amazon EC2) dans le cloud AWS.

  • La collecte de données à l'aide d'un rôle IAM découvert automatiquement pour Amazon EC2 n'est pas prise en charge dans les régions AWS de Chine.

Architecture

AWS Network Firewall et architecture de journalisation Splunk

Le diagramme illustre les éléments suivants :

  1. Network Firewall publie les journaux dans CloudWatch Logs.

  2. Splunk Enterprise extrait les métriques et les journaux à partir de. CloudWatch

Pour renseigner des exemples de métriques et de journaux dans cette architecture, une charge de travail génère du trafic qui passe par le point de terminaison Network Firewall pour accéder à Internet. Ceci est réalisé grâce à l'utilisation de tables de routage. Bien que ce modèle utilise une seule instance Amazon EC2 comme charge de travail, il peut s'appliquer à n'importe quelle architecture tant que Network Firewall est configuré pour envoyer des journaux à CloudWatch Logs.

Cette architecture utilise également une instance Splunk Enterprise dans un autre cloud privé virtuel (VPC). Toutefois, l'instance Splunk peut se trouver dans un autre emplacement, par exemple dans le même VPC que la charge de travail, à condition qu'elle puisse atteindre CloudWatch les API.

Outils

Services AWS

  • Amazon CloudWatch Logs vous aide à centraliser les journaux de tous vos systèmes, applications et services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.

  • Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul évolutive dans le cloud AWS. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.

  • AWS Network Firewall est un pare-feu réseau dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions pour les VPC dans le cloud AWS.

Autres outils

  • Splunk vous aide à surveiller, à visualiser et à analyser les données des journaux.

Épopées

TâcheDescriptionCompétences requises

Créez la politique IAM.

Suivez les instructions de la section Création de politiques à l'aide de l'éditeur JSON pour créer la politique IAM qui accorde un accès en lecture seule aux données et aux métriques CloudWatch des journaux. CloudWatch Collez le politique suivante dans l'éditeur JSON.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
Administrateur AWS

Créez un nouveau rôle IAM.

Suivez les instructions de la section Création d'un rôle pour déléguer des autorisations à un service AWS afin de créer le rôle IAM auquel le module complémentaire Splunk pour AWS utilise pour accéder. CloudWatch Pour les politiques d'autorisations, choisissez la politique que vous avez créée précédemment.

Administrateur AWS

Attribuez le rôle IAM aux instances EC2 du cluster Splunk.

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, sélectionnez Instances.

  3. Sélectionnez les instances EC2 dans le cluster Splunk.

  4. Choisissez Actions, Sécurité, puis Modifier le rôle IAM.

  5. Sélectionnez le rôle IAM que vous avez créé précédemment, puis choisissez Enregistrer.

Administrateur AWS
TâcheDescriptionCompétences requises

Installez le module complémentaire.

  1. Dans le tableau de bord Splunk, accédez à Splunk Apps.

  2. Recherchez le module complémentaire Splunk pour Amazon Web Services.

  3. Choisissez Installer.

  4. Fournissez vos informations d'identification Splunk.

Administrateur Splunk

Configurez les informations d'identification AWS.

  1. Dans le tableau de bord Splunk, accédez au module complémentaire Splunk pour AWS.

  2. Choisissez Configuration.

  3. Dans la colonne Rôle IAM découvert automatiquement, sélectionnez le rôle IAM que vous avez créé précédemment.

Pour plus d'informations, consultez la section Trouver un rôle IAM au sein de votre instance de plateforme Splunk dans la documentation Splunk.

Administrateur Splunk
TâcheDescriptionCompétences requises

Configurez la récupération des journaux de Network Firewall à partir de CloudWatch Logs.

  1. Dans le tableau de bord Splunk, accédez au module complémentaire Splunk pour AWS.

  2. Choisissez Input.

  3. Choisissez Créer une nouvelle entrée.

  4. Dans la liste, choisissez Type de données personnalisé, puis CloudWatch Logs.

  5. Indiquez le nom, le compte AWS, la région AWS et le groupe de journaux pour vos journaux Network Firewall.

  6. Choisissez Enregistrer.

Par défaut, Splunk récupère les données du journal toutes les 10 minutes. Il s'agit d'un paramètre configurable dans les paramètres avancés. Pour plus d'informations, consultez Configurer une entrée de CloudWatch logs à l'aide de Splunk Web dans la documentation Splunk.

Administrateur Splunk

Configurez la récupération des métriques de Network Firewall à partir de CloudWatch.

  1. Dans le tableau de bord Splunk, accédez au module complémentaire Splunk pour AWS.

  2. Choisissez Input.

  3. Choisissez Créer une nouvelle entrée.

  4. Dans la liste, choisissez CloudWatch.

  5. Indiquez le nom, le compte AWS et la région AWS pour les métriques de votre Network Firewall.

  6. À côté de Configuration métrique, choisissez Modifier en mode avancé.

  7. (Facultatif) Supprimez tous les espaces de noms préconfigurés. 

  8. Choisissez Ajouter un espace de noms, puis nommez-le NetworkFirewallAWS/.

  9. Dans Dimension Value, ajoutez ce qui suit.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. Pour Metrics, sélectionnez All.

  11. Pour les statistiques métriques, choisissez Sum.

  12. Choisissez OK.

  13. Choisissez Enregistrer.

Par défaut, Splunk récupère les données métriques toutes les 5 minutes. Il s'agit d'un paramètre configurable dans les paramètres avancés. Pour plus d'informations, consultez Configurer une CloudWatch entrée à l'aide de Splunk Web dans la documentation Splunk.

Administrateur Splunk
TâcheDescriptionCompétences requises

Consultez les principales adresses IP sources.

  1. Dans le tableau de bord Splunk, accédez à Search & Reporting.

  2. Dans le champ Entrez la recherche ici, entrez ce qui suit.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Cette requête affiche un tableau des adresses IP sources ayant le plus de trafic, par ordre décroissant.

  3. Pour une représentation graphique, choisissez Visualization.

Administrateur Splunk

Afficher les statistiques des paquets.

  1. Dans le tableau de bord Splunk, accédez à Search & Reporting.

  2. Dans le champ Entrez la recherche ici, entrez ce qui suit.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Cette requête affiche un tableau des mesures DroppedPacketsPassedPackets, et ReceivedPackets par minute.

  3. Pour une représentation graphique, choisissez Visualization.

Administrateur Splunk

Consultez les ports sources les plus utilisés.

  1. Dans le tableau de bord Splunk, accédez à Search & Reporting.

  2. Dans le champ Entrez la recherche ici, entrez ce qui suit.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Cette requête affiche un tableau des ports sources ayant le plus de trafic, par ordre décroissant.

  3. Pour une représentation graphique, choisissez Visualization.

Administrateur Splunk

Ressources connexes

Documentation AWS

Articles de blog AWS

AWS Marketplace