AWSNetzwerk-Firewall-Logs und -Metriken mithilfe von Splunk anzeigen - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenArchitekturToolsEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWSNetzwerk-Firewall-Logs und -Metriken mithilfe von Splunk anzeigen

Erstellt von Ivo Pinto

Übersicht

Viele Unternehmen verwenden Splunk Enterprise als zentralisiertes Aggregations- und Visualisierungstool für Logs und Metriken aus verschiedenen Quellen. Dieses Muster hilft Ihnen, Splunk so zu konfigurieren, dass AWSNetzwerk-Firewall-Protokolle und -Metriken von Amazon Logs mithilfe des CloudWatch Splunk-Add-Ons für abgerufen werden. AWS 

Um dies zu erreichen, erstellen Sie eine schreibgeschützte AWS Identity and Access Management (IAM) -Rolle. Splunk Add-On für AWS verwendet diese Rolle für den Zugriff. CloudWatch Sie konfigurieren das Splunk-Add-On für das Abrufen von Metriken und AWS Logs von. CloudWatch Schließlich erstellen Sie Visualisierungen in Splunk aus den abgerufenen Protokolldaten und Metriken.

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • Splunk Enterprise muss als Cluster von Amazon Elastic Compute Cloud (AmazonEC2) -Instances in der AWS Cloud bereitgestellt werden.

  • Das Sammeln von Daten mithilfe einer automatisch erkannten IAM Rolle für Amazon EC2 wird in den Regionen AWS China nicht unterstützt.

Architektur

AWSNetwork Firewall und Splunk-Logging-Architektur

Das Diagramm veranschaulicht folgende Vorgänge:

  1. Die Network Firewall veröffentlicht CloudWatch Protokolle in Logs.

  2. Splunk Enterprise ruft Metriken und Protokolle von ab. CloudWatch

Um Beispielmetriken und Logs in dieser Architektur aufzufüllen, generiert ein Workload Traffic, der über den Netzwerk-Firewall-Endpunkt ins Internet geleitet wird. Dies wird durch die Verwendung von Routentabellen erreicht. Obwohl dieses Muster eine einzelne EC2 Amazon-Instance als Workload verwendet, kann dieses Muster für jede Architektur gelten, sofern die Network Firewall so konfiguriert ist, dass sie CloudWatch Protokolle an Logs sendet.

Diese Architektur verwendet auch eine Splunk Enterprise-Instanz in einer anderen virtuellen privaten Cloud ()VPC. Die Splunk-Instanz kann sich jedoch an einem anderen Ort befinden, z. B. am selben Ort VPC wie der Workload, sofern sie den erreichen kann. CloudWatch APIs

Tools

AWS-Services

  • Amazon CloudWatch Logs hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS Dienste zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.

  • Amazon Elastic Compute Cloud (AmazonEC2) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.

  • AWSNetwork Firewall ist ein zustandsorientierter, verwalteter Dienst für Netzwerk-Firewall und Erkennung und Verhinderung von Eindringlingen VPCs in der AWS Cloud.

Andere Tools

  • Splunk unterstützt Sie bei der Überwachung, Visualisierung und Analyse von Protokolldaten.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie die IAM Richtlinie.

Folgen Sie den Anweisungen unter Richtlinien mithilfe des JSON Editors erstellen, um die IAM Richtlinie zu erstellen, die nur Lesezugriff auf die CloudWatch Logdaten und CloudWatch -Metriken gewährt. Fügen Sie die folgende Richtlinie in den JSON Editor ein.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS-Administrator

Erstellen Sie eine neue IAM Rolle.

Folgen Sie den Anweisungen unter Eine Rolle erstellen, um Berechtigungen an einen AWS Dienst zu delegieren, um die IAM Rolle zu erstellen, auf die das Splunk Add-On for AWS zugreift. CloudWatch Wählen Sie für Berechtigungsrichtlinien die Richtlinie aus, die Sie zuvor erstellt haben.

AWS-Administrator

Weisen Sie die IAM Rolle den EC2 Instanzen im Splunk-Cluster zu.

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie die EC2 Instances im Splunk-Cluster aus.

  4. Wählen Sie Aktionen, Sicherheit und dann Rolle ändern IAM aus.

  5. Wählen Sie die IAM Rolle aus, die Sie zuvor erstellt haben, und klicken Sie dann auf Speichern.

AWS-Administrator
AufgabeBeschreibungErforderliche Fähigkeiten

Installieren Sie das Add-on.

  1. Navigieren Sie im Splunk-Dashboard zu Splunk Apps.

  2. Suchen Sie nach dem Splunk-Add-on für Amazon Web Services.

  3. Wählen Sie Installieren aus.

  4. Geben Sie Ihre Splunk-Anmeldeinformationen ein.

Splunk-Administrator

Konfigurieren Sie die AnmeldedatenAWS.

  1. Navigieren Sie im Splunk-Dashboard zu Splunk Add-on für. AWS

  2. Wählen Sie Konfiguration.

  3. Wählen Sie in der Spalte Automatisch erkannte IAM Rolle die IAM Rolle aus, die Sie zuvor erstellt haben.

Weitere Informationen finden Sie in der Splunk-Dokumentation unter Finden Sie eine IAM Rolle in Ihrer Splunk-Plattform-Instanz.

Splunk-Administrator
AufgabeBeschreibungErforderliche Fähigkeiten

Konfigurieren Sie den Abruf von Netzwerk-Firewall-Protokollen aus CloudWatch Protokollen.

  1. Navigieren Sie im Splunk-Dashboard zu Splunk Add-on für. AWS

  2. Wählen Sie Eingabe.

  3. Wählen Sie „Neue Eingabe erstellen“.

  4. Wählen Sie in der Liste Benutzerdefinierter Datentyp und dann CloudWatch Protokolle aus.

  5. Geben Sie den Namen, das AWSKonto, die AWSRegion und die Protokollgruppe für Ihre Netzwerk-Firewall-Protokolle an.

  6. Wählen Sie Save (Speichern) aus.

Standardmäßig ruft Splunk die Protokolldaten alle 10 Minuten ab. Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen. Weitere Informationen finden Sie in der Splunk-Dokumentation unter Konfiguration einer CloudWatch Log-Eingabe mit Splunk Web.

Splunk-Administrator

Konfigurieren Sie den Abruf von Netzwerk-Firewall-Metriken von CloudWatch.

  1. Navigieren Sie im Splunk-Dashboard zu Splunk Add-on für. AWS

  2. Wählen Sie Eingabe.

  3. Wählen Sie „Neue Eingabe erstellen“.

  4. Wählen Sie in der Liste CloudWatch.

  5. Geben Sie den Namen, das AWSKonto und die AWSRegion für Ihre Netzwerk-Firewall-Metriken an.

  6. Wählen Sie neben Metrikkonfiguration die Option Im erweiterten Modus bearbeiten aus.

  7. (Optional) Löschen Sie alle vorkonfigurierten Namespaces. 

  8. Wählen Sie Namespace hinzufügen und nennen Sie ihn dann/. AWS NetworkFirewall

  9. Fügen Sie unter Dimensionswert Folgendes hinzu.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. Wählen Sie für Metriken die Option Alle aus.

  11. Wählen Sie für Metrische Statistiken die Option Summe aus.

  12. Wählen Sie OK aus.

  13. Wählen Sie Save (Speichern) aus.

Standardmäßig ruft Splunk die Metrikdaten alle 5 Minuten ab. Dies ist ein konfigurierbarer Parameter unter Erweiterte Einstellungen. Weitere Informationen finden Sie in der Splunk-Dokumentation unter Eine CloudWatch Eingabe mithilfe von Splunk Web konfigurieren.

Splunk-Administrator
AufgabeBeschreibungErforderliche Fähigkeiten

Sehen Sie sich die wichtigsten Quell-IP-Adressen an.

  1. Navigieren Sie im Splunk-Dashboard zu Search & Reporting.

  2. Geben Sie in das Feld „Suche hier eingeben“ Folgendes ein.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Diese Abfrage zeigt eine Tabelle mit den Quell-IP-Adressen mit dem meisten Verkehr in absteigender Reihenfolge an.

  3. Für eine grafische Darstellung wählen Sie Visualization.

Splunk-Administrator

Paketstatistiken anzeigen.

  1. Navigieren Sie im Splunk-Dashboard zu Search & Reporting.

  2. Geben Sie in das Feld „Suche hier eingeben“ Folgendes ein.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Diese Abfrage zeigt eine Tabelle mit den Metriken DroppedPacketsPassedPackets, und ReceivedPackets pro Minute an.

  3. Wählen Sie für eine grafische Darstellung Visualization aus.

Splunk-Administrator

Sehen Sie sich die am häufigsten verwendeten Quellports an.

  1. Navigieren Sie im Splunk-Dashboard zu Search & Reporting.

  2. Geben Sie in das Feld „Suche hier eingeben“ Folgendes ein.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Diese Abfrage zeigt eine Tabelle der Quellports mit dem meisten Verkehr in absteigender Reihenfolge an.

  3. Für eine grafische Darstellung wählen Sie Visualisierung aus.

Splunk-Administrator

Zugehörige Ressourcen

AWS-Dokumentation

AWS-Blog-Posts

AWS Marketplace