Tutorial: enviar registros de fluxo da VPC para o Splunk usando o Amazon Kinesis Data Firehose

Neste tutorial, você aprende a capturar informações sobre o tráfego de IP que chega e sai das interfaces de rede em uma Amazon Virtual Private Cloud (Amazon VPC). Você então usa o Amazon Kinesis Data Firehose para enviar essas informações ao Splunk. Para obter mais informações sobre o tráfego de rede da VPC, consulte Logs de fluxo da VPC no Manual do usuário da Amazon VPC.

Primeiro, você envia os logs de fluxos da Amazon VPC para o Amazon CloudWatch. Em seguida, do CloudWatch, os dados vão para um fluxo de entrega do Kinesis Data Firehose. O Kinesis Data Firehose então invoca uma função do AWS Lambda para descompactar os dados e envia os dados de log descompactados para o Splunk.

Pré-requisitos

Antes de começar, verifique se você tem os seguintes pré-requisitos:

• Conta da AWS: se você não tiver uma conta da AWS, crie uma em http://aws.amazon.com. Para obter mais informações, consulte Configurar o Amazon Kinesis Data Firehose.

• AWS CLI: partes deste tutorial exigem o uso da AWS Command Line Interface (AWS CLI). Para instalar a AWS CLI, consulte Instalar a AWS Command Line Interface no Guia do usuário da AWS Command Line Interface.

• Token HEC: na implantação do Splunk, configure um token do HTTP Event Collector (HEC) com o tipo de fonte aws:cloudwatchlogs:vpcflow. Para obter mais informações, consulte Visão geral de instalação e configuração para o complemento do Splunk para o Amazon Kinesis Firehose na documentação do Splunk.

Tópicos

• Etapa 1: enviar dados de log da Amazon VPC para o Amazon CloudWatch
• Etapa 2: criar um fluxo de entrega do Kinesis Data Firehose com o Splunk como destino
• Etapa 3: enviar os dados do Amazon CloudWatch para o Kinesis Data Firehose
• Etapa 4: verificar os resultados no Splunk e no Kinesis Data Firehose