Vea los registros y las métricas de AWS Network Firewall mediante Splunk - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Vea los registros y las métricas de AWS Network Firewall mediante Splunk

Creado por Ivo Pinto

Resumen

Muchas organizaciones utilizan Splunk Enterprise como una herramienta centralizada de agregación y visualización de registros y métricas de diferentes fuentes. Este patrón le ayuda a configurar Splunk para que extraiga los registros y las métricas de AWSNetwork Firewall de Amazon CloudWatch Logs mediante el complemento Splunk para. AWS 

Para ello, debe crear un rol de AWS Identity and Access Management (IAM) de solo lectura. El complemento Splunk for AWS utiliza este rol para acceder. CloudWatch Usted configura el complemento de Splunk AWS para obtener métricas y registros. CloudWatch Por último, debe crear visualizaciones en Splunk a partir de los datos de registro y las métricas recuperados.

Requisitos previos y limitaciones

Requisitos previos 

Limitaciones

  • Splunk Enterprise debe implementarse como un clúster de instancias de Amazon Elastic Compute Cloud (AmazonEC2) en la AWS nube.

  • En las regiones de AWS China no EC2 se admite la recopilación de datos mediante un IAM rol descubierto automáticamente para Amazon.

Arquitectura

AWSArquitectura de registro de Network Firewall y Splunk

En el siguiente diagrama se ilustra lo siguiente:

  1. Network Firewall publica CloudWatch registros en Logs.

  2. Splunk Enterprise recupera métricas y registros de. CloudWatch

Para rellenar métricas y registros de ejemplo en esta arquitectura, una carga de trabajo genera tráfico que pasa a través del punto final de Network Firewall para ir a Internet. Esto se logra mediante el uso de tablas de enrutamiento. Aunque este patrón utiliza una única EC2 instancia de Amazon como carga de trabajo, se puede aplicar a cualquier arquitectura siempre que Network Firewall esté configurado para enviar CloudWatch registros a Logs.

Esta arquitectura también utiliza una instancia de Splunk Enterprise en otra nube privada virtual (VPC). Sin embargo, la instancia de Splunk puede estar en otra ubicación, por ejemplo, en la VPC misma ubicación que la carga de trabajo, siempre que pueda llegar a. CloudWatch APIs

Herramientas

Servicios de AWS

  • Amazon CloudWatch Logs le ayuda a centralizar los registros de todos sus sistemas, aplicaciones y AWS servicios para que pueda supervisarlos y archivarlos de forma segura.

  • Amazon Elastic Compute Cloud (AmazonEC2) proporciona capacidad informática escalable en la AWS nube. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

  • AWSNetwork Firewall es un firewall de red gestionado y con estado y un servicio de detección y prevención de intrusiones para VPCs la AWS nube.

Otras herramientas

  • Splunk le permite monitorear, visualizar y analizar los datos de registro.

Epics

TareaDescripciónHabilidades requeridas

Cree la política de IAM.

Siga las instrucciones de Creación de políticas mediante el JSON editor para crear la IAM política que conceda acceso de solo lectura a los datos y las métricas de los CloudWatch registros. CloudWatch Pegue la siguiente política en el JSON editor.

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
Administrador de AWS

Crea un nuevo IAM rol.

Siga las instrucciones de Crear un rol para delegar permisos a un AWS servicio para crear el IAM rol al que accede CloudWatch el complemento de Splunk. AWS Para las políticas de permisos, elija la política que creó anteriormente.

Administrador de AWS

Asigne la IAM función a las EC2 instancias del clúster de Splunk.

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instances (Instancia[s]).

  3. Seleccione las EC2 instancias del clúster de Splunk.

  4. Elija Acciones, Seguridad y, a continuación, Modificar IAM rol.

  5. Seleccione el IAM rol que creó anteriormente y, a continuación, elija Guardar.

Administrador de AWS
TareaDescripciónHabilidades requeridas

Instala el complemento.

  1. En el panel de control de Splunk, dirígete a Splunk Apps.

  2. Busca el complemento Splunk para Amazon Web Services.

  3. Elija Instalar.

  4. Proporcione sus credenciales de Splunk.

Administrador de Splunk

Configure las AWS credenciales.

  1. En el panel de control de Splunk, vaya al complemento Splunk para. AWS

  2. Elija Configuración.

  3. En la columna IAMFunción detectada automáticamente, selecciona la IAM función que creaste anteriormente.

Para obtener más información, consulte Buscar un IAM rol en su instancia de plataforma Splunk en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Configure la recuperación de los registros de Network Firewall desde los CloudWatch registros.

  1. En el panel de control de Splunk, vaya al complemento Splunk para. AWS

  2. Selecciona Entrada.

  3. Elija Crear nueva entrada.

  4. En la lista, elija Tipo de datos personalizado y, a continuación, seleccione CloudWatch Registros.

  5. Proporcione el nombre, la AWScuenta, AWSla región y el grupo de registros de los registros de Network Firewall.

  6. Seleccione Guardar.

De forma predeterminada, Splunk recupera los datos de registro cada 10 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una entrada de CloudWatch registros mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk

Configure la recuperación de las métricas de Network Firewall desde CloudWatch.

  1. En el panel de control de Splunk, vaya al complemento Splunk para. AWS

  2. Selecciona Entrada.

  3. Elija Crear nueva entrada.

  4. En la lista, elija CloudWatch.

  5. Proporcione el nombre, la AWScuenta y AWSla región de las métricas de Network Firewall.

  6. Junto a Configuración métrica, elija Editar en modo avanzado.

  7. (Opcional) Elimine todos los espacios de nombres preconfigurados. 

  8. Elija Agregar espacio de nombres y, a continuación, asígnele el nombre/. AWS NetworkFirewall

  9. En Dimension Value, añada lo siguiente.

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. En Métricas, elija Todas.

  11. En Estadísticas métricas, elija Suma.

  12. Seleccione OK.

  13. Seleccione Guardar.

De forma predeterminada, Splunk recupera los datos de las métricas cada 5 minutos. Se trata de un parámetro configurable en los ajustes avanzados. Para obtener más información, consulte Configurar una CloudWatch entrada mediante Splunk Web en la documentación de Splunk.

Administrador de Splunk
TareaDescripciónHabilidades requeridas

Vea las direcciones IP de origen principal.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    Esta consulta muestra una tabla de las direcciones IP de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Ver las estadísticas de los paquetes.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    Esta consulta muestra una tabla con las métricas DroppedPackets y ReceivedPackets por minuto. PassedPackets

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Vea los puertos de origen más utilizados.

  1. En el panel de control de Splunk, vaya a Search & Reporting.

  2. En el cuadro Introduzca «Buscar aquí», introduzca lo siguiente.

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    Esta consulta muestra una tabla de los puertos de origen con más tráfico, en orden descendente.

  3. Para obtener una representación gráfica, elija Visualización.

Administrador de Splunk

Recursos relacionados

Documentación de AWS

Publicaciones de blog de AWS

AWS Marketplace