Splunk を使用して AWS Network Firewall のログとメトリクスを表示する - AWS 規範ガイダンス
[概要]前提条件と制限アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Splunk を使用して AWS Network Firewall のログとメトリクスを表示する

作成者: Ivo Pinto

環境:PoC またはパイロット

テクノロジー: ネットワーキング CloudNative、コンテンツ配信、オペレーション、セキュリティ、アイデンティティ、コンプライアンス

ワークロード:その他すべてのワークロード

AWS サービス: Amazon CloudWatch、Amazon CloudWatch Logs、AWSNetwork Firewall

[概要]

多くの組織は、さまざまなソースからのログとメトリクスを一元的に集約および視覚化するツールとして Splunk Enterprise を使用しています。このパターンは、 の Splunk アドオンを使用して、Amazon CloudWatch Logs から AWS Network Firewall ログとメトリクスを取得するように Splunk を設定するのに役立ちますAWS。 

これを実現するには、読み取り専用の AWS Identity and Access Management (IAM) ロールを作成します。の Splunk アドオンAWSは、このロールを使用して にアクセスします CloudWatch。メトリクスとログを から取得AWSするように Splunk アドオンを設定します CloudWatch。最後に、取得したログデータとメトリクスから Splunk で視覚化を作成します。

前提条件と制限

前提条件

  • Splunk アカウント

  • Splunk Enterprise インスタンス、バージョン 8.2.2 以降 

  • アクティブなAWSアカウント

  • Network Firewall、ログを CloudWatch ログに送信するように設定および設定

制約事項

  • Splunk Enterprise は、AWSクラウド内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのクラスターとしてデプロイする必要があります。

  • Amazon で自動的に検出されたIAMロールを使用してデータを収集EC2することは、AWS中国リージョンではサポートされていません。

アーキテクチャ

AWS Network Firewall と Splunk のログ記録アーキテクチャ

この図表は、以下を示すものです:

  1. Network Firewall はログを CloudWatch ログに発行します。

  2. Splunk Enterprise は、 からメトリクスとログを取得します CloudWatch。

このアーキテクチャでメトリクスとログの例を入力するために、ワークロードは Network Firewall エンドポイントを通過してインターネットに移動するトラフィックを生成します。これは、ルートテーブル の使用によって実現されます。このパターンはワークロードとして単一の Amazon EC2インスタンスを使用しますが、Network Firewall がログを CloudWatch Logs に送信するように設定されている場合、このパターンはどのアーキテクチャにも適用できます。

このアーキテクチャでは、別の仮想プライベートクラウド () の Splunk Enterprise インスタンスも使用しますVPC。ただし、Splunk インスタンスは、 に到達できる限り、ワークロードVPCと同じ などの別の場所に配置できます CloudWatch APIs。

ツール

AWS サービス

  • Amazon CloudWatch Logs は、すべてのシステム、アプリケーション、およびAWSサービスのログを一元化し、それらをモニタリングして安全にアーカイブするのに役立ちます。

  • Amazon Elastic Compute Cloud (Amazon EC2) は、AWSクラウドでスケーラブルなコンピューティング容量を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。

  • AWS Network Firewall は、 AWS クラウドVPCs内の のステートフルでマネージド型のネットワークファイアウォールと侵入検出および防止サービスです。

その他のツール

  • Splunk」 はログデータのモニタリング、視覚化、分析に役立ちます。

エピック

タスク説明必要なスキル

IAM ポリシーを作成します。

JSON エディタを使用してポリシーを作成するの手順に従って、 CloudWatch ログデータと CloudWatch メトリクスへの読み取り専用アクセスを許可するIAMポリシーを作成します。次のポリシーをJSONエディタに貼り付けます。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理者

新しいIAMロールを作成します。

ロールの作成の手順に従って、 AWSサービスにアクセス許可を委任し、 用の Splunk アドオンが へのアクセスAWSに使用するIAMロールを作成します CloudWatch。アクセス許可ポリシー では、以前に作成したポリシーを選択します。

AWS 管理者

IAM ロールを Splunk クラスターのEC2インスタンスに割り当てます。

  1. で Amazon EC2コンソールを開きますhttps://console.aws.amazon.com/ec2/

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. Splunk クラスター内のEC2インスタンスを選択します。

  4. アクション セキュリティ を選択し、IAMロール を変更します

  5. 以前に作成したIAMロールを選択し、保存 を選択します。

AWS 管理者
タスク説明必要なスキル

アドオンをインストールします。

  1. Splunk ダッシュボードで、Splunk Apps に移動します。

  2. Amazon Web Services 用の Splunk アドオン を検索します。

  3. [Install] (インストール) を選択します。

  4. Splunk 認証情報を入力します。

Splunk 管理者

AWS 認証情報を設定します。

  1. Splunk ダッシュボードで、 用の Splunk アドオンAWSに移動します。

  2. [設定] を選択します。

  3. Autodiscovered IAM Role 列で、以前に作成したIAMロールを選択します。

詳細については、Splunk ドキュメントの「Splunk プラットフォームインスタンス内のIAMロールを検索する」を参照してください。

Splunk 管理者
タスク説明必要なスキル

ログからの Network Firewall CloudWatch ログの取得を設定します。

  1. Splunk ダッシュボードで、 用の Splunk アドオンAWSに移動します。

  2. 入力 を選択します。

  3. Create New Input を選択します。

  4. リストで、カスタムデータ型 を選択し、CloudWatch ログ を選択します。

  5. Network Firewall ログの名前AWSアカウント AWSリージョン 、およびロググループを指定します。

  6. [Save] を選択します。

デフォルトでは、Splunk は 10 分ごとにログデータを取得します。これは、詳細設定 で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch ログ入力を設定する」を参照してください。

Splunk 管理者

からの Network Firewall メトリクスの取得を設定します CloudWatch。

  1. Splunk ダッシュボードで、 用の Splunk アドオンAWSに移動します。

  2. 入力 を選択します。

  3. 新しい入力の作成 を選択します。

  4. リストで、 を選択しますCloudWatch

  5. Network Firewall メトリクスの名前 AWSアカウント AWSリージョンを指定します。

  6. メトリクス設定 の横にある、詳細モードで編集 を選択します。

  7. (オプション) 事前設定された名前空間をすべて削除します。 

  8. 名前空間の追加 を選択し、AWS/NetworkFirewall に名前を付けます。

  9. ディメンション値 で、以下を追加します。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. メトリクス では、すべて を選択します。

  11. メトリクス統計 で、合計 を選択します。

  12. [OK] を選択します。

  13. [Save] を選択します。

デフォルトでは、Splunk は 5 分ごとにメトリクスデータを取得します。これは、詳細設定 で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch 入力を設定する」を参照してください。

Splunk 管理者
タスク説明必要なスキル

上位のソース IP アドレスを表示します。

  1. Splunk ダッシュボードで、検索とレポート に移動します。

  2. ここに検索を入力するボックスに、以下を入力します。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    このクエリは、トラフィックの多い送信元 IP アドレスのテーブルを降順で表示します。

  3. グラフィック表現の場合は、「視覚化」を選択します。

Splunk 管理者

パケット統計を表示します。

  1. Splunk ダッシュボードで、検索とレポート に移動します。

  2. ここに検索を入力するボックスに、以下を入力します。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    このクエリは、メトリクス DroppedPackets、、PassedPacketsおよび 1 分ReceivedPacketsあたりのテーブルを表示します。

  3. グラフィック表現の場合は、「視覚化」を選択します。

Splunk 管理者

最も使用されているソースポートを表示します。

  1. Splunk ダッシュボードで、検索とレポート に移動します。

  2. ここに検索を入力するボックスに、以下を入力します。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    このクエリは、トラフィックが最も多いソースポートのテーブルを降順で表示します。

  3. グラフィック表現の場合は、「視覚化」を選択します。

Splunk 管理者

関連リソース

AWS ドキュメント

AWS ブログ記事

AWS マーケットプレイス