Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Splunk を使用して AWS Network Firewall のログとメトリクスを表示する

PDF
フォーカスモード
Splunk を使用して AWS Network Firewall のログとメトリクスを表示する - AWS 規範ガイダンス
概要前提条件と制限アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

作成者: Ivo Pinto

概要

多くの組織は、さまざまなソースからのログとメトリクスを一元的に集約および可視化するツールとして Splunk Enterprise を使用しています。このパターンは、Splunk アドオン for AWS を使用して Amazon CloudWatch Logs から AWS Network Firewall ログとメトリクスを取得するように Splunk を設定するのに役立ちます。 Amazon CloudWatch  

これを実現するには、読み取り専用の AWS Identity and Access Management (IAM) ロールを作成します。Splunk Add-On for AWS は、このロールを使用して CloudWatch にアクセスします。CloudWatch からメトリクスとログを取得するように Splunk Add-On for AWS を設定します。最後に、取得したログデータとメトリクスから Splunk で視覚化を作成します。

前提条件と制限

前提条件

  • Splunk アカウント

  • Splunk Enterprise インスタンス、バージョン 8.2.2 以降 

  • アクティブな AWS アカウント

  • Network Firewall、CloudWatch Logs にログを送信するように設定および設定

制約事項

  • Splunk Enterprise は、AWS クラウド内の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのクラスターとしてデプロイする必要があります。

  • Amazon EC2 で自動的に検出された IAM ロールを使用してデータを収集することは、AWS 中国リージョンではサポートされていません。

アーキテクチャ

AWS Network Firewall と Splunk のログ記録アーキテクチャ

この図表は、以下を示すものです:

  1. Network Firewall は CloudWatch Logs にログを発行します。

  2. Splunk Enterprise は CloudWatch からメトリクスとログを取得します。

このアーキテクチャのメトリクスとログの例を入力するために、ワークロードは Network Firewall エンドポイントを通過してインターネットに移動するトラフィックを生成します。これは、ルートテーブルの使用によって実現されます。このパターンではワークロードとして単一の Amazon EC2 インスタンスが使用されますが、Network Firewall が CloudWatch Logs にログを送信するように設定されている場合、このパターンは任意のアーキテクチャに適用できます。

このアーキテクチャでは、別の Virtual Private Cloud (VPC) の Splunk Enterprise インスタンスも使用します。ただし、Splunk インスタンスは、CloudWatch APIs に到達できる限り、ワークロードと同じ VPC など、別の場所に配置できます。

ツール

AWS サービス

  • Amazon CloudWatch Logs」は、すべてのシステム、アプリケーション、 AWS からのログを一元化することを支援して、ログを監視して安全にアーカイブできるようにします。

  • Amazon Elastic Compute Cloud (Amazon EC2)」は、AWS クラウドでスケーラブルなコンピューティング容量を提供します。必要な数の仮想サーバーを起動することができ、迅速にスケールアップまたはスケールダウンができます。

  • AWS Network Firewall は、ステートフルでマネージド型のネットワークファイアウォールならびに侵入検知および防止サービスです。

その他のツール

  • Splunk」 はログデータのモニタリング、視覚化、分析に役立ちます。

エピック

タスク説明必要なスキル

IAM ポリシーを作成します。

「JSON エディタを使用してポリシーを作成する」の手順に従って、CloudWatch Logs データおよび CloudWatch メトリクスへの読み取り専用アクセスを許可する IAM ポリシーを作成します。以下の ポリシーを JSON エディタに貼り付けます。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理者

新しい IAM ロールを作成します。

「AWS のサービスにアクセス許可を委任するロールの作成」の手順に従って、AWS 用 Splunk アドオンが CloudWatch へのアクセスに使用する IAM ロールを作成します。アクセス許可ポリシーで、前に作成したポリシーを選択します。

AWS 管理者

Splunk クラスターの EC2 インスタンスに IAM ロールを割り当てます。

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. Splunk クラスター内の EC2 インスタンスを選択します。

  4. アクションセキュリティを選択し、IAM ロールを変更します

  5. 前に作成した IAM ロールを選択し、保存を選択します。

AWS 管理者

IAM ロールを作成する

タスク説明必要なスキル

IAM ポリシーを作成します。

「JSON エディタを使用してポリシーを作成する」の手順に従って、CloudWatch Logs データおよび CloudWatch メトリクスへの読み取り専用アクセスを許可する IAM ポリシーを作成します。以下の ポリシーを JSON エディタに貼り付けます。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理者

新しい IAM ロールを作成します。

「AWS のサービスにアクセス許可を委任するロールの作成」の手順に従って、AWS 用 Splunk アドオンが CloudWatch へのアクセスに使用する IAM ロールを作成します。アクセス許可ポリシーで、前に作成したポリシーを選択します。

AWS 管理者

Splunk クラスターの EC2 インスタンスに IAM ロールを割り当てます。

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. Splunk クラスター内の EC2 インスタンスを選択します。

  4. アクションセキュリティを選択し、IAM ロールを変更します

  5. 前に作成した IAM ロールを選択し、保存を選択します。

AWS 管理者
タスク説明必要なスキル

アドオンをインストールします。

  1. Splunk ダッシュボードで、Splunk Apps に移動します。

  2. Amazon Web Services の Splunk アドオンを検索します

  3. [インストール] を選択します。

  4. Splunk 認証情報を入力します。

Splunk 管理者

AWS 認証情報を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. [設定] を選択します。

  3. Autodiscovered IAM Role 列で、前に作成した IAM ロールを選択します。

詳細については、Splunk ドキュメントの「Splunk プラットフォームインスタンス内で IAM ロールを検索する」を参照してください。

Splunk 管理者

AWS 用の Splunk アドオンをインストールする

タスク説明必要なスキル

アドオンをインストールします。

  1. Splunk ダッシュボードで、Splunk Apps に移動します。

  2. Amazon Web Services の Splunk アドオンを検索します

  3. [インストール] を選択します。

  4. Splunk 認証情報を入力します。

Splunk 管理者

AWS 認証情報を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. [設定] を選択します。

  3. Autodiscovered IAM Role 列で、前に作成した IAM ロールを選択します。

詳細については、Splunk ドキュメントの「Splunk プラットフォームインスタンス内で IAM ロールを検索する」を参照してください。

Splunk 管理者
タスク説明必要なスキル

CloudWatch Logs からの Network Firewall ログの取得を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. 入力 を選択します。

  3. Create New Input を選択します。

  4. リストで、カスタムデータ型を選択し、CloudWatch Logs を選択します。

  5. Network Firewall ログの名前AWS アカウントAWS リージョン、およびロググループを指定します。

  6. [Save] を選択します。

デフォルトでは、Splunk は 10 分ごとにログデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch Logs 入力を設定する」を参照してください。

Splunk 管理者

CloudWatch からの Network Firewall メトリクスの取得を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. 入力 を選択します。

  3. 新しい入力の作成 を選択します。

  4. リストで、CloudWatch を選択します。

  5. Network Firewall メトリクスの名前AWS アカウント、および AWS リージョンを指定します。

  6. メトリクス設定の横にある詳細モードで編集を選択します。

  7. (オプション) 事前設定された名前空間をすべて削除します。 

  8. 名前空間の追加を選択し、AWS/NetworkFirewall という名前を付けます。

  9. ディメンション値に以下を追加します。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. メトリクス で、すべて を選択します。

  11. メトリクス統計で、合計 を選択します。

  12. [OK] を選択します。

  13. [Save] を選択します。

デフォルトでは、Splunk は 5 分ごとにメトリクスデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch 入力を設定する」を参照してください。

Splunk 管理者

CloudWatch への Splunk アクセスを設定する

タスク説明必要なスキル

CloudWatch Logs からの Network Firewall ログの取得を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. 入力 を選択します。

  3. Create New Input を選択します。

  4. リストで、カスタムデータ型を選択し、CloudWatch Logs を選択します。

  5. Network Firewall ログの名前AWS アカウントAWS リージョン、およびロググループを指定します。

  6. [Save] を選択します。

デフォルトでは、Splunk は 10 分ごとにログデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch Logs 入力を設定する」を参照してください。

Splunk 管理者

CloudWatch からの Network Firewall メトリクスの取得を設定します。

  1. Splunk ダッシュボードで、Splunk Add-on for AWS に移動します。

  2. 入力 を選択します。

  3. 新しい入力の作成 を選択します。

  4. リストで、CloudWatch を選択します。

  5. Network Firewall メトリクスの名前AWS アカウント、および AWS リージョンを指定します。

  6. メトリクス設定の横にある詳細モードで編集を選択します。

  7. (オプション) 事前設定された名前空間をすべて削除します。 

  8. 名前空間の追加を選択し、AWS/NetworkFirewall という名前を付けます。

  9. ディメンション値に以下を追加します。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. メトリクス で、すべて を選択します。

  11. メトリクス統計で、合計 を選択します。

  12. [OK] を選択します。

  13. [Save] を選択します。

デフォルトでは、Splunk は 5 分ごとにメトリクスデータを取得します。これは、詳細設定で設定可能なパラメータです。詳細については、Splunk ドキュメントの「Splunk Web を使用して CloudWatch 入力を設定する」を参照してください。

Splunk 管理者
タスク説明必要なスキル

上位のソース IP アドレスを表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    このクエリは、トラフィックが最も多い送信元 IP アドレスのテーブルを降順に表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

パケット統計を表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    このクエリは、1 分ReceivedPacketsあたりのメトリクス DroppedPacketsPassedPackets、および のテーブルを表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

最も使用されているソースポートを表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    このクエリは、トラフィックが最も多いソースポートのテーブルを降順で表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

クエリを使用して Splunk ビジュアライゼーションを作成する

タスク説明必要なスキル

上位のソース IP アドレスを表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    このクエリは、トラフィックが最も多い送信元 IP アドレスのテーブルを降順に表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

パケット統計を表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    このクエリは、1 分ReceivedPacketsあたりのメトリクス DroppedPacketsPassedPackets、および のテーブルを表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

最も使用されているソースポートを表示します。

  1. Splunk ダッシュボードで、検索とレポートに移動します。

  2. ここに検索を入力するボックスに、次のように入力します。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    このクエリは、トラフィックが最も多いソースポートのテーブルを降順で表示します。

  3. グラフィカル表現の場合は、視覚化を選択します。

Splunk 管理者

関連リソース

AWS ドキュメント

ブログの投稿

AWS Marketplace

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.