使用 Splunk 檢視 AWS Network Firewall 日誌和指標

由 Ivo Pinto 建立

Summary

許多組織使用 Splunk Enterprise 做為來自不同來源的日誌和指標的集中彙整和視覺化工具。此模式可協助您設定 Splunk 使用 Splunk Add-On for AWS 從 Amazon CloudWatch Logs 擷取 AWS Network Firewall 日誌和指標。 Amazon CloudWatch  

若要達成此目的，您可以建立唯讀 AWS Identity and Access Management (IAM) 角色。Splunk Add-On for AWS 使用此角色存取 CloudWatch。您可以將 Splunk Add-On for AWS 設定為從 CloudWatch 擷取指標和日誌。最後，您可以從擷取的日誌資料和指標，在 Splunk 中建立視覺化效果。

先決條件和限制

先決條件

• Splunk 帳戶

• Splunk Enterprise 執行個體，8.2.2 版或更新版本 

• 作用中的 AWS 帳戶

• Network Firewall，設定並設定 將日誌傳送至 CloudWatch Logs

限制

• Splunk Enterprise 必須部署為 AWS 雲端中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體叢集。

• AWS 中國區域不支援使用自動探索的 Amazon EC2 IAM 角色收集資料。

架構

此圖展示了以下要點：

1. Network Firewall 會將日誌發佈至 CloudWatch Logs。

2. Splunk Enterprise 從 CloudWatch 擷取指標和日誌。

若要在此架構中填入範例指標和日誌，工作負載會產生通過 Network Firewall 端點的流量，以前往網際網路。這是透過使用路由表來實現的。雖然此模式使用單一 Amazon EC2 執行個體做為工作負載，但只要 Network Firewall 設定為將日誌傳送至 CloudWatch Logs，此模式就可以套用至任何架構。

此架構也會在另一個虛擬私有雲端 (VPC) 中使用 Splunk Enterprise 執行個體。不過，Splunk 執行個體可以位於另一個位置，例如與工作負載相同的 VPC，只要它可以到達 CloudWatch APIs。

工具

AWS 服務

• Amazon CloudWatch Logs 可協助您集中所有系統、應用程式和 AWS 服務的日誌，以便您可以監控日誌並將其安全地存檔。

• Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 雲端中提供可擴展的運算容量。您可以視需要啟動任意數量的虛擬伺服器，，並快速進行擴展或縮減。

• AWS Network Firewall 是 AWS 雲端中 VPCs 具狀態、受管的網路防火牆和入侵偵測和預防服務。

其他工具

• Splunk 可協助您監控、視覺化和分析日誌資料。

史詩

建立 IAM 角色

任務	描述	所需的技能
建立 IAM 政策。	遵循使用 JSON 編輯器建立政策中的指示，建立授予 CloudWatch Logs 資料和 CloudWatch 指標唯讀存取權的 IAM 政策。將以下 政策貼到 JSON 編輯器。 { "Statement": [ { "Action": [ "cloudwatch:List*", "cloudwatch:Get*", "network-firewall:List*", "logs:Describe*", "logs:Get*", "logs:List*", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "2012-10-17" }	AWS 管理員
建立新的 IAM 角色。	遵循建立角色以將許可委派給 AWS 服務中的指示，以建立 Splunk 附加元件 for AWS 用來存取 CloudWatch 的 IAM 角色。針對許可政策，選擇您先前建立的政策。	AWS 管理員
將 IAM 角色指派給 Splunk 叢集中的 EC2 執行個體。	前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。 在導覽窗格中，選擇執行個體。 在 Splunk 叢集中選取 EC2 執行個體。 選擇動作、安全性，然後選擇修改 IAM 角色。 選取您先前建立的 IAM 角色，然後選擇儲存。	AWS 管理員

安裝適用於 AWS 的 Splunk 附加元件

任務	描述	所需的技能
安裝 附加元件。	在 Splunk 儀表板中，導覽至 Splunk 應用程式。 搜尋 Amazon Web Services 的 Splunk 附加元件。 選擇 Install (安裝)。 提供您的 Splunk 登入資料。	Splunk 管理員
設定 AWS 登入資料。	在 Splunk 儀表板中，導覽至適用於 AWS 的 Splunk 附加元件。 選擇 Configuration (組態)。 在自動探索的 IAM 角色欄中，選取您先前建立的 IAM 角色。 如需詳細資訊，請參閱 Splunk 文件中的在 Splunk 平台執行個體中尋找 IAM 角色。	Splunk 管理員

設定 Splunk 對 CloudWatch 的存取

任務	描述	所需的技能
設定從 CloudWatch Logs 擷取 Network Firewall 日誌。	在 Splunk 儀表板中，導覽至適用於 AWS 的 Splunk 附加元件。 選擇輸入。 選擇建立新輸入。 在清單中，選擇自訂資料類型，然後選擇 CloudWatch Logs。 為您的網路防火牆日誌提供名稱、AWS 帳戶、AWS 區域和日誌群組。 選擇儲存。 根據預設，Splunk 每 10 分鐘擷取一次日誌資料。這是進階設定下的可設定參數。如需詳細資訊，請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch Logs 輸入。	Splunk 管理員
設定從 CloudWatch 擷取 Network Firewall 指標。	在 Splunk 儀表板中，導覽至適用於 AWS 的 Splunk 附加元件。 選擇輸入。 選擇建立新輸入。 在清單中，選擇 CloudWatch。 為您的 Network Firewall 指標提供名稱、AWS 帳戶和 AWS 區域。 在指標組態旁邊，選擇進階模式中的編輯。 （選用） 刪除所有預先設定的命名空間。  選擇新增命名空間，然後命名為 AWS/NetworkFirewall。 在維度值中，新增下列項目。 [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}] 針對指標，選擇全部。 針對指標統計資料，選擇總和。 選擇確定。 選擇儲存。 根據預設，Splunk 每 5 分鐘擷取一次指標資料。這是進階設定下的可設定參數。如需詳細資訊，請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch 輸入。	Splunk 管理員

使用查詢建立 Splunk 視覺化

任務	描述	所需的技能
檢視最高來源 IP 地址。	在 Splunk 儀表板中，導覽至搜尋和報告。 在此處輸入搜尋方塊中，輸入下列內容。 sourcetype="aws:cloudwatchlogs" | top event.src_ip 此查詢會以遞減順序顯示流量最多的來源 IP 地址資料表。 如需圖形表示，請選擇視覺化。	Splunk 管理員
檢視封包統計資料。	在 Splunk 儀表板中，導覽至搜尋和報告。 在此處輸入搜尋方塊中，輸入下列內容。 sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name 此查詢會顯示ReceivedPackets每分鐘指標 DroppedPackets、 PassedPackets和 的資料表。 如需圖形呈現，請選擇視覺化。	Splunk 管理員
檢視最常用的來源連接埠。	在 Splunk 儀表板中，導覽至搜尋和報告。 在此處輸入搜尋方塊中，輸入下列內容。 sourcetype="aws:cloudwatchlogs" | top event.dest_port 此查詢會以遞減順序顯示流量最多的來源連接埠資料表。 針對圖形呈現，選擇視覺化。	Splunk 管理員

相關資源

AWS 文件

• 建立角色以將許可委派給 AWS 服務 (IAM 文件）

• 建立 IAM 政策 (IAM 文件）

• 在 AWS Network Firewall 中記錄和監控 (Network Firewall 文件）

• AWS Network Firewall 的路由表組態 (Network Firewall 文件）

AWS 部落格文章

• AWS Network Firewall 部署模型

AWS Marketplace

• Splunk Enterprise Amazon Machine Image (AMI)