Splunk를 사용하여 AWS 네트워크 방화벽 로그 및 지표 보기

작성자: Ivo Pinto

요약

많은 조직에서 Splunk Enterprise를 다양한 소스의 로그 및 지표에 대한 중앙 집중식 집계 및 시각화 도구로 사용합니다.이 패턴은 Splunk용 추가 기능을 사용하여 Amazon CloudWatch Logs에서 AWS 네트워크 방화벽 로그 및 지표를 가져오도록 Splunk를 구성하는 데 도움이 됩니다AWS.

이를 위해 읽기 전용 AWS 자격 증명 및 액세스 관리(IAM) 역할을 생성합니다. 용 Splunk 추가 기능은이 역할을 AWS 사용하여에 액세스합니다 CloudWatch. 지표와 로그를 가져오AWS도록 용 Splunk 추가 기능을 구성합니다 CloudWatch. 마지막으로 검색된 로그 데이터 및 지표에서 Splunk에서 시각화를 생성합니다.

사전 조건 및 제한 사항

사전 조건

Splunk 계정
Splunk Enterprise 인스턴스, 버전 8.2.2 이상
활성 AWS 계정
CloudWatch 로그로 로그를 전송하도록 설정 및 구성된 네트워크 방화벽

제한 사항

Splunk Enterprise는 AWS 클라우드에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 클러스터로 배포되어야 합니다.
AWS 중국 리전에서는 Amazon에 대해 자동으로 검색된 IAM 역할을 사용하여 데이터를 수집할 수 EC2 없습니다.

아키텍처

다이어그램은 다음을 보여 줍니다.

Network Firewall은 로그를 CloudWatch 로그에 게시합니다.
Splunk Enterprise는 지표와 로그를 검색합니다 CloudWatch.

이 아키텍처에서 예제 지표 및 로그를 채우기 위해 워크로드는 Network Firewall 엔드포인트를 통과하여 인터넷으로 이동하는 트래픽을 생성합니다. 이는 라우팅 테이블을 사용하여 이루어집니다.이 패턴은 단일 Amazon EC2 인스턴스를 워크로드로 사용하지만 Network Firewall이 CloudWatch 로그로 로그를 전송하도록 구성된 한이 패턴은 모든 아키텍처에 적용될 수 있습니다.

또한이 아키텍처는 다른 가상 프라이빗 클라우드()에서 Splunk Enterprise 인스턴스를 사용합니다VPC. 그러나 Splunk 인스턴스는에 도달할 수 있는 한 워크로드VPC와 동일한와 같은 다른 위치에 있을 수 있습니다 CloudWatch APIs.

도구

AWS 서비스

Amazon CloudWatch Logs를 사용하면 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 중앙 집중화하여 안전하게 모니터링하고 보관할 수 있습니다.
Amazon Elastic Compute Cloud(Amazon EC2)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.
AWS Network Firewall은 AWS 클라우드VPCs의에 대한 상태 저장, 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스입니다.

기타 도구

Splunk는 로그 데이터를 모니터링, 시각화 및 분석하는 데 도움이 됩니다.

에픽

작업 설명 필요한 기술

작업	설명	필요한 기술
IAM 정책을 생성합니다.	JSON 편집기를 사용하여 정책 생성의 지침에 따라 CloudWatch 로그 데이터 및 CloudWatch 지표에 대한 읽기 전용 액세스 권한을 부여하는 IAM 정책을 생성합니다. 다음 정책을 JSON 편집기에 붙여 넣습니다. `{ "Statement": [ { "Action": [ "cloudwatch:List", "cloudwatch:Get", "network-firewall:List", "logs:Describe", "logs:Get", "logs:List", "logs:StartQuery", "logs:StopQuery", "logs:TestMetricFilter", "logs:FilterLogEvents", "network-firewall:Describe" ], "Effect": "Allow", "Resource": "" } ], "Version": "2012-10-17" }`	AWS 관리자
새 IAM 역할을 생성합니다.	역할 생성의 지침에 따라 AWS 서비스에 권한을 위임하여 용 Splunk 추가 기능이에 액세스하기 위해 AWS 사용하는 IAM 역할을 생성합니다 CloudWatch. 권한 정책에서 이전에 생성한 정책을 선택합니다.	AWS 관리자
Splunk 클러스터의 EC2 인스턴스에 IAM 역할을 할당합니다.	에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/. 탐색 창에서 Instances(인스턴스)를 선택합니다. Splunk 클러스터에서 EC2 인스턴스를 선택합니다. 작업, 보안을 선택한 다음 IAM 역할 수정을 선택합니다. 이전에 생성한 IAM 역할을 선택한 다음 저장을 선택합니다.	AWS 관리자

IAM 정책을 생성합니다.

JSON 편집기를 사용하여 정책 생성의 지침에 따라 CloudWatch 로그 데이터 및 CloudWatch 지표에 대한 읽기 전용 액세스 권한을 부여하는 IAM 정책을 생성합니다. 다음 정책을 JSON 편집기에 붙여 넣습니다.


{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}

AWS 관리자

새 IAM 역할을 생성합니다.

역할 생성의 지침에 따라 AWS 서비스에 권한을 위임하여 용 Splunk 추가 기능이에 액세스하기 위해 AWS 사용하는 IAM 역할을 생성합니다 CloudWatch. 권한 정책에서 이전에 생성한 정책을 선택합니다.

AWS 관리자

Splunk 클러스터의 EC2 인스턴스에 IAM 역할을 할당합니다.

에서 Amazon EC2 콘솔을 엽니다https://console.aws.amazon.com/ec2/.
탐색 창에서 Instances(인스턴스)를 선택합니다.
Splunk 클러스터에서 EC2 인스턴스를 선택합니다.
작업, 보안을 선택한 다음 IAM 역할 수정을 선택합니다.
이전에 생성한 IAM 역할을 선택한 다음 저장을 선택합니다.

AWS 관리자

작업	설명	필요한 기술
추가 기능을 설치합니다.	Splunk 대시보드에서 Splunk 앱으로 이동합니다. Amazon Web Services용 Splunk 추가 기능을 검색합니다. 설치를 선택합니다. Splunk 자격 증명을 제공합니다.	Splunk 관리자
AWS 자격 증명을 구성합니다.	Splunk 대시보드에서용 Splunk 추가 기능으로 AWS이동합니다. 구성을 선택합니다. 자동 검색된 IAM 역할 열에서 이전에 생성한 IAM 역할을 선택합니다. 자세한 내용은 Splunk 설명서의 Splunk 플랫폼 인스턴스에서 IAM 역할 찾기를 참조하세요.	Splunk 관리자

작업	설명	필요한 기술
CloudWatch 로그에서 네트워크 방화벽 로그 검색을 구성합니다.	Splunk 대시보드에서 용 Splunk 추가 기능으로 AWS이동합니다. 입력을 선택합니다. 새 입력 생성을 선택합니다. 목록에서 사용자 지정 데이터 유형을 선택한 다음 CloudWatch 로그를 선택합니다. 네트워크 방화벽 로그의 이름, AWS 계정, AWS 리전 및 로그 그룹을 입력합니다. 저장(Save)을 선택합니다. 기본적으로 Splunk는 10분마다 로그 데이터를 가져옵니다. 이는 고급 설정에서 구성 가능한 파라미터입니다. 자세한 내용은 Splunk 설명서의 Splunk Web을 사용하여 CloudWatch 로그 입력 구성을 참조하세요.	Splunk 관리자
에서 네트워크 방화벽 지표 검색을 구성합니다 CloudWatch.	Splunk 대시보드에서용 Splunk 추가 기능으로 AWS이동합니다. 입력을 선택합니다. 새 입력 생성을 선택합니다. 목록에서를 선택합니다CloudWatch. 네트워크 방화벽 지표의 이름, AWS계정 및 AWS 리전을 입력합니다. 지표 구성 옆에 있는 고급 모드에서 편집을 선택합니다. (선택 사항) 미리 구성된 모든 네임스페이스를 삭제합니다. 네임스페이스 추가를 선택한 다음 이름을 AWS/NetworkFirewall로 지정합니다. 차원 값에 다음을 추가합니다. `[{"AvailabilityZone":["."],"Engine":["."],"FirewallName":["."]}]` 지표에서* 모두를 선택합니다. 지표 통계에서 합계를 선택합니다. 확인을 선택합니다. 저장(Save)을 선택합니다. 기본적으로 Splunk는 5분마다 지표 데이터를 가져옵니다. 이는 고급 설정에서 구성 가능한 파라미터입니다. 자세한 내용은 Splunk 설명서의 Splunk Web을 사용하여 CloudWatch 입력 구성을 참조하세요.	Splunk 관리자

작업	설명	필요한 기술
상위 소스 IP 주소를 봅니다.	Splunk 대시보드에서 검색 및 보고로 이동합니다. 여기에 검색 입력 상자에 다음을 입력합니다. `sourcetype="aws:cloudwatchlogs" \| top event.src_ip` 이 쿼리는 트래픽이 가장 많은 소스 IP 주소의 테이블을 내림차순으로 표시합니다. 그래픽 표현의 경우 시각화를 선택합니다.	Splunk 관리자
패킷 통계를 봅니다.	Splunk 대시보드에서 검색 및 보고로 이동합니다. 여기에 검색 입력 상자에 다음을 입력합니다. `sourcetype="aws:cloudwatch"\| timechart sum(Sum) by metric_name` 이 쿼리는 분당 지표 `DroppedPackets`, 및 `PassedPackets`의 테이블`ReceivedPackets`을 표시합니다. 그래픽 표현의 경우 시각화를 선택합니다.	Splunk 관리자
가장 많이 사용되는 소스 포트를 확인합니다.	Splunk 대시보드에서 검색 및 보고로 이동합니다. 여기에 검색 입력 상자에 다음을 입력합니다. `sourcetype="aws:cloudwatchlogs" \| top event.dest_port` 이 쿼리는 트래픽이 가장 많은 소스 포트의 테이블을 내림차순으로 표시합니다. 그래픽 표현의 경우 시각화를 선택합니다.	Splunk 관리자

Splunk를 사용하여 AWS 네트워크 방화벽 로그 및 지표 보기

요약

사전 조건 및 제한 사항

아키텍처

도구

에픽

관련 리소스