기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Splunk를 사용하여 AWS 네트워크 방화벽 로그 및 지표 보기
작성자: Ivo Pinto
환경: PoC 또는 파일럿 | 기술: 네트워킹, 클라우드 네이티브, 콘텐츠 전송, 운영, 보안, ID, 규정 준수 | 워크로드: 기타 모든 워크로드 |
AWS 서비스: 아마존 CloudWatch, 아마존 CloudWatch 로그, AWS 네트워크 방화벽 |
요약
많은 조직에서 Splunk Enterprise를
이를 위해서는 읽기 전용 AWS ID 및 액세스 관리 (IAM) 역할을 생성해야 합니다. AWS용 Splunk 애드온은 이 역할을 사용하여 액세스합니다. CloudWatch AWS용 Splunk 애드온이 지표와 로그를 가져오도록 구성합니다. CloudWatch 마지막으로 검색된 로그 데이터 및 지표로 Splunk에서 시각화를 생성합니다.
사전 조건 및 제한 사항
사전 조건
제한 사항
Splunk Enterprise는 AWS 클라우드에서 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스의 클러스터로 배포해야 합니다.
Amazon EC2에 대해 자동으로 검색된 IAM 역할을 사용하여 데이터를 수집하는 것은 AWS 중국 지역에서 지원되지 않습니다.
아키텍처
![AWS 네트워크 방화벽 및 스플렁크 로깅 아키텍처](images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
다이어그램은 다음을 보여 줍니다.
Network Firewall은 로그를 로그에 CloudWatch 게시합니다.
Splunk Enterprise는 에서 메트릭과 로그를 검색합니다. CloudWatch
이 아키텍처에 예제 메트릭과 로그를 채우기 위해 워크로드는 Network Firewall 엔드포인트를 통과하여 인터넷으로 이동하는 트래픽을 생성합니다. 이는 라우팅 테이블을 사용하여 달성됩니다. 이 패턴은 단일 Amazon EC2 인스턴스를 워크로드로 사용하지만, 이 패턴은 로그를 Logs로 전송하도록 Network Firewall이 구성되어 있는 한 모든 아키텍처에 적용할 수 있습니다. CloudWatch
또한 이 아키텍처는 다른 가상 사설 클라우드 (VPC) 의 Splunk Enterprise 인스턴스를 사용합니다. 하지만 Splunk 인스턴스는 API에 CloudWatch 도달할 수 있는 한 다른 위치 (예: 워크로드와 동일한 VPC) 에 있을 수 있습니다.
도구
서비스
Amazon CloudWatch Logs를 사용하면 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 중앙 집중화하여 로그를 모니터링하고 안전하게 보관할 수 있습니다.
Amazon Elastic Compute Cloud(Amazon EC2)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.
AWS Network Firewall은 AWS Cloud를 위한 상태 저장형, 관리형 네트워크 방화벽이자, 침입 탐지 및 방지 서비스입니다.
기타 도구
Splunk
는 로그 데이터를 모니터링, 시각화 및 분석하는 데 도움이 됩니다.
에픽
작업 | 설명 | 필요한 기술 |
---|---|---|
IAM 정책을 생성합니다. | JSON 편집기를 사용한 정책 생성의 지침에 따라 CloudWatch 로그 데이터 및 지표에 대한 읽기 전용 액세스 권한을 부여하는 IAM 정책을 생성하십시오. CloudWatch 다음 정책을 JSON 편집기에 붙여넣습니다.
| AWS 관리자 |
새 IAM 역할을 생성합니다. | AWS 서비스에 권한을 위임할 역할 생성의 지침에 따라 AWS용 Splunk 애드온이 액세스하는 데 사용하는 IAM 역할을 생성합니다. CloudWatch 권한 정책의 경우 이전에 생성한 정책을 선택합니다. | AWS 관리자 |
Splunk 클러스터의 EC2 인스턴스에 IAM 역할을 할당합니다. |
| AWS 관리자 |
작업 | 설명 | 필요한 기술 |
---|---|---|
애드온을 설치합니다. |
| 스플렁크 관리자 |
AWS 자격 증명을 구성합니다. |
자세한 내용은 Splunk 설명서의 Splunk 플랫폼 인스턴스 내에서 IAM 역할 찾기를 | 스플렁크 관리자 |
작업 | 설명 | 필요한 기술 |
---|---|---|
로그에서 CloudWatch Network Firewall 로그를 검색하도록 구성합니다. |
기본적으로 Splunk는 10분마다 로그 데이터를 가져옵니다. 이는 고급 설정에서 구성할 수 있는 매개변수입니다. 자세한 내용은 Splunk 설명서의 Splunk Web을 사용한 CloudWatch 로그 입력 구성을 | Splunk 관리자 |
에서 CloudWatch Network Firewall 메트릭의 검색을 구성합니다. |
기본적으로 Splunk는 5분마다 지표 데이터를 가져옵니다. 이는 고급 설정에서 구성할 수 있는 매개변수입니다. 자세한 내용은 Splunk 설명서의 Splunk Web을 사용한 CloudWatch 입력 구성을 | Splunk 관리자 |
작업 | 설명 | 필요한 기술 |
---|---|---|
상위 소스 IP 주소 보기 |
| Splunk 관리자 |
패킷 통계 보기. |
| Splunk 관리자 |
가장 많이 사용되는 소스 포트 보기 |
| Splunk 관리자 |
관련 리소스
AWS 설명서
AWS 서비스에 권한을 위임하기 위한 역할 생성 (IAM 설명서)
IAM 정책 생성(IAM 설명서)
AWS Network Firewall에서의 로깅 및 모니터링 (네트워크 방화벽 설명서)
AWS 네트워크 방화벽의 라우팅 테이블 구성 (네트워크 방화벽 설명서)
AWS 블로그 게시물
AWS Marketplace