Splunk を使用して AWS Network Firewall のログとメトリクスを表示する

作成者: Ivo Pinto

概要

多くの組織では、さまざまなソースからのログとメトリクスを一元的に集約および可視化するツールとして Splunk Enterprise を使用しています。このパターンは、の Splunk アドオンを使用して Amazon CloudWatch Logs から AWS Network Firewall ログとメトリクスを取得するように Splunk を設定するのに役立ちますAWS。

これを実現するには、読み取り専用の AWS Identity and Access Management (IAM) ロールを作成します。の Splunk アドオンAWSは、このロールを使用してにアクセスします CloudWatch。の Splunk アドオンを設定AWSして、メトリクスとログを取得します CloudWatch。最後に、取得したログデータとメトリクスから Splunk で視覚化を作成します。

前提条件と制限

前提条件

Splunk アカウント
Splunk Enterprise インスタンス、バージョン 8.2.2 以降
アクティブなAWSアカウント
Network Firewall、 CloudWatch ログにログを送信するように設定および設定

制約事項

Splunk Enterprise は、 AWS クラウド内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのクラスターとしてデプロイする必要があります。
Amazon の自動検出IAMロールを使用したデータ収集EC2は、AWS中国リージョンではサポートされていません。

アーキテクチャ

この図表は、以下を示すものです：

Network Firewall はログを CloudWatch Logs に発行します。
Splunk Enterprise は、からメトリクスとログを取得します CloudWatch。

このアーキテクチャのメトリクスとログの例を入力するために、ワークロードは Network Firewall エンドポイントを通過してインターネットに移動するトラフィックを生成します。これは、ルートテーブルを使用することで実現されます。このパターンではワークロードとして単一の Amazon EC2インスタンスを使用しますが、Network Firewall が CloudWatch Logs にログを送信するように設定されている場合、このパターンは任意のアーキテクチャに適用できます。

このアーキテクチャでは、別の仮想プライベートクラウド () の Splunk Enterprise インスタンスも使用しますVPC。ただし、Splunk インスタンスは、に到達できる限り、ワークロードVPCと同じなど、別の場所に配置できます CloudWatch APIs。

ツール

AWS サービス

Amazon CloudWatch Logs は、すべてのシステム、アプリケーション、AWSサービスからのログを一元化するのに役立つため、ログをモニタリングして安全にアーカイブできます。
Amazon Elastic Compute Cloud (Amazon EC2）はAWS、クラウドでスケーラブルなコンピューティング性能を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。
AWS Network Firewall は、 AWS クラウドVPCs内の用のステートフルでマネージド型のネットワークファイアウォールおよび侵入検知および防止サービスです。

その他のツール

「Splunk」はログデータのモニタリング、視覚化、分析に役立ちます。

エピック

タスク説明必要なスキル

タスク	説明	必要なスキル
IAM ポリシーを作成します。	JSON 「エディタを使用してポリシーを作成する」の手順に従って、 CloudWatch ログのデータと CloudWatch メトリクスへの読み取り専用アクセスを許可するIAMポリシーを作成します。次のポリシーをJSONエディタに貼り付けます。 `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	AWS 管理者
新しいIAMロールを作成します。	「 AWSのサービスにアクセス許可を委任するロールの作成」の手順に従って、の Splunk アドオンがアクセスAWSに使用するIAMロールを作成します CloudWatch。アクセス許可ポリシーで、前に作成したポリシーを選択します。	AWS 管理者
IAM ロールを Splunk クラスターのEC2インスタンスに割り当てます。	で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/。ナビゲーションペインで、[インスタンス] を選択します。 Splunk クラスター内のEC2インスタンスを選択します。アクション、セキュリティ、IAMロールの変更を選択します。前に作成したIAMロールを選択し、保存を選択します。	AWS 管理者

IAM ポリシーを作成します。

JSON 「エディタを使用してポリシーを作成する」の手順に従って、 CloudWatch ログのデータと CloudWatch メトリクスへの読み取り専用アクセスを許可するIAMポリシーを作成します。次のポリシーをJSONエディタに貼り付けます。


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

AWS 管理者

新しいIAMロールを作成します。

「 AWSのサービスにアクセス許可を委任するロールの作成」の手順に従って、の Splunk アドオンがアクセスAWSに使用するIAMロールを作成します CloudWatch。アクセス許可ポリシーで、前に作成したポリシーを選択します。

AWS 管理者

IAM ロールを Splunk クラスターのEC2インスタンスに割り当てます。

で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/。
ナビゲーションペインで、[インスタンス] を選択します。
Splunk クラスター内のEC2インスタンスを選択します。
アクション、セキュリティ、IAMロールの変更を選択します。
前に作成したIAMロールを選択し、保存を選択します。

AWS 管理者

タスク	説明	必要なスキル
アドオンをインストールします。	Splunk ダッシュボードで、Splunk アプリに移動します。 Amazon Web Services の Splunk アドオンを検索します。 [インストール] を選択します。 Splunk 認証情報を入力します。	Splunk 管理者
AWS 認証情報を設定します。	Splunk ダッシュボードで、の Splunk アドオンAWSに移動します。 [設定] を選択します。 Autodiscovered IAM Role 列で、前に作成したIAMロールを選択します。詳細については、Splunk ドキュメントの「Splunk プラットフォームインスタンス内で IAMロールを検索する」を参照してください。	Splunk 管理者

タスク	説明	必要なスキル
ログからの Network Firewall CloudWatch ログの取得を設定します。	Splunk ダッシュボードで、の Splunk アドオンAWSに移動します。入力を選択します。新しい入力の作成を選択します。リストで、カスタムデータ型を選択し、CloudWatch ログを選択します。 Network Firewall ログの名前、AWSアカウント、AWSリージョン、およびロググループを指定します。 [Save] を選択します。デフォルトでは、Splunk は 10 分ごとにログデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Configure a CloudWatch Logs input using Splunk Web」を参照してください。	Splunk 管理者
Network Firewall メトリクスの取得を設定します CloudWatch。	Splunk ダッシュボードで、の Splunk アドオンAWSに移動します。入力を選択します。新しい入力の作成を選択します。リストで、を選択しますCloudWatch。 Network Firewall メトリクスの名前、AWSアカウント、およびAWSリージョンを指定します。メトリクス設定の横にある詳細モードで編集を選択します。（オプション) 事前設定された名前空間をすべて削除します。名前空間の追加を選択し、AWS/NetworkFirewall という名前を付けます。ディメンション値に以下を追加します。 `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` メトリクス* で、すべてを選択します。メトリクス統計で、合計を選択します。 [OK] を選択します。 [Save] を選択します。デフォルトでは、Splunk は 5 分ごとにメトリクスデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Configure a CloudWatch input using Splunk Web」を参照してください。	Splunk 管理者

タスク	説明	必要なスキル
上位のソース IP アドレスを表示します。	Splunk ダッシュボードで、検索とレポートに移動します。ここに検索を入力するボックスに、次のように入力します。 `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` このクエリは、トラフィックが最も多い送信元 IP アドレスのテーブルを降順で表示します。グラフィカル表現の場合は、視覚化を選択します。	Splunk 管理者
パケット統計を表示します。	Splunk ダッシュボードで、検索とレポートに移動します。ここに検索を入力するボックスに、次のように入力します。 `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` このクエリは、1 分`ReceivedPackets`あたりのメトリクス `DroppedPackets`、`PassedPackets`、およびのテーブルを表示します。グラフィカル表現の場合は、視覚化を選択します。	Splunk 管理者
最も使用されているソースポートを表示します。	Splunk ダッシュボードで、検索とレポートに移動します。ここに検索を入力するボックスに、次のように入力します。 `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` このクエリは、トラフィックが最も多いソースポートのテーブルを降順で表示します。グラフィカル表現の場合は、視覚化を選択します。	Splunk 管理者

Splunk を使用して AWS Network Firewall のログとメトリクスを表示する

概要

前提条件と制限

アーキテクチャ

ツール

エピック

関連リソース