选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
使用 Splunk 查看 AWS Network Firewall 日志和指标 - AWS Prescriptive Guidance
摘要先决条件和限制架构工具操作说明相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Splunk 查看 AWS Network Firewall 日志和指标

PDF

由 Ivo Pinto 创作

摘要

许多组织使用 Splunk Enter prise 作为来自不同来源的日志和指标的集中聚合和可视化工具。 此模式可帮助您配置 Splunk,使其使用适用于 AWS 的 Splunk 插件从亚马逊 CloudWatch 日志中获取 AWS Network Firew all 日志和指标。 

为此,您需要创建一个只读的 AWS Identity and Access Management (IAM) 角色。适用于 AWS 的 Splunk 附加组件使用此角色进行访问 CloudWatch。您可以配置 AWS 的 Splunk 插件以从中 CloudWatch获取指标和日志。最后,您可以在 Splunk 中根据检索到的日志数据和指标创建可视化效果。

先决条件和限制

先决条件

  • 一个 Splunk 账户

  • Splunk Enterprise 实例,版本 8.2.2 或更高版本 

  • 一个有效的 Amazon Web Services account

  • Network Firewall,设置配置为向日志发送 CloudWatch 日志

限制

  • Splunk Enterprise 必须作为亚马逊弹性计算云 (Amazon EC2) 实例的集群部署在 AWS 云中。

  • AWS 中国区域不支持使用自动发现 EC2 的 Amazon IAM 角色收集数据。

架构

AWS Network Firewall 和 Splunk 日志架构

该图阐释了以下内容:

  1. Network Firewall 将日志发布到 CloudWatch 日志。

  2. Splunk Enterprise 从中检索指标和日志。 CloudWatch

为了在此架构中填充示例指标和日志,工作负载会生成通过 Network Firewall 端点进入互联网的流量。这是通过使用路由表来实现的。 尽管此模式使用单个 Amazon EC2 实例作为工作负载,但只要将 Network Firewall 配置为向 CloudWatch 日志发送日志,这种模式就可以应用于任何架构。

该架构还使用另一个虚拟私有云 (VPC) 中的 Splunk Enterprise 实例。但是,Splunk 实例可以位于其他位置,例如与工作负载位于同一个 VPC 中,前提是它可以到达。 CloudWatch APIs

工具

Amazon Web Services

  • Amazon CloudWatch Lo gs 可帮助您集中管理来自所有系统、应用程序和 AWS 服务的日志,以便您可以监控它们并安全地将其存档。

  • 亚马逊弹性计算云 (Amazon EC2) 在 AWS 云中提供可扩展的计算容量。您可以根据需要启动任意数量的虚拟服务器,并快速扩展或缩减它们。

  • AWS Network Fire wall 是一项有状态的托管式网络防火墙以及入侵检测和防御服务,适用于 AWS 云 VPCs 中。

其他工具

  • Splunk 可帮助您监控、可视化并分析日志数据。

操作说明

Task描述所需技能

创建 IAM policy。

按照使用 JSON 编辑器创建策略中的说明创建授予 CloudWatch 日志数据和 CloudWatch 指标只读访问权限的 IAM 策略。将下面的 策略粘贴到 JSON 编辑器中。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理员

创建新的 IAM 角色。

按照创建角色中的说明向 AWS 服务委派权限,创建适用于 AWS 的 Splunk 附加组件访问 CloudWatch的 IAM 角色。对于权限策略,请选择您之前创建的策略。

AWS 管理员

为 Splunk 集群中的 EC2 实例分配 IAM 角色。

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择实例

  3. 在 Splunk 集群中选择 EC2 实例。

  4. 选择 “操作”、“安全”,然后选择 “修改 IAM 角色”。

  5. 选择您之前创建的 IAM 角色,然后选择保存

AWS 管理员

创建 IAM 角色

Task描述所需技能

创建 IAM policy。

按照使用 JSON 编辑器创建策略中的说明创建授予 CloudWatch 日志数据和 CloudWatch 指标只读访问权限的 IAM 策略。将下面的 策略粘贴到 JSON 编辑器中。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理员

创建新的 IAM 角色。

按照创建角色中的说明向 AWS 服务委派权限,创建适用于 AWS 的 Splunk 附加组件访问 CloudWatch的 IAM 角色。对于权限策略,请选择您之前创建的策略。

AWS 管理员

为 Splunk 集群中的 EC2 实例分配 IAM 角色。

  1. 打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择实例

  3. 在 Splunk 集群中选择 EC2 实例。

  4. 选择 “操作”、“安全”,然后选择 “修改 IAM 角色”。

  5. 选择您之前创建的 IAM 角色,然后选择保存

AWS 管理员
Task描述所需技能

安装附加组件。

  1. 在 Splunk 控制面板中,导航到 Splunk 应用程序

  2. 搜索适用于亚马逊 Web Services 的 Splunk 附加组件

  3. 选择安装

  4. 提供您的 Splunk 凭证。

Splunk 管理员

配置 AWS 证书。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择配置

  3. 自动发现的 IAM 角色列中,选择您之前创建的 IAM 角色。

有关更多信息,请参阅 Splunk 文档中的在您的 Splunk 平台实例中查找 IAM 角色

Splunk 管理员

安装适用于 AWS 的 Splunk 附加组件

Task描述所需技能

安装附加组件。

  1. 在 Splunk 控制面板中,导航到 Splunk 应用程序

  2. 搜索适用于亚马逊 Web Services 的 Splunk 附加组件

  3. 选择安装

  4. 提供您的 Splunk 凭证。

Splunk 管理员

配置 AWS 证书。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择配置

  3. 自动发现的 IAM 角色列中,选择您之前创建的 IAM 角色。

有关更多信息,请参阅 Splunk 文档中的在您的 Splunk 平台实例中查找 IAM 角色

Splunk 管理员
Task描述所需技能

配置从日志中检索 Network Firewall 日 CloudWatch 志。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择 “输入”。

  3. 选择 “创建新输入”。

  4. 在列表中,选择 “自定义数据类型”,然后选择 “CloudWatch 日志”。

  5. 为您的 Network Firewall 日志提供名称AW S 账户、AWS 区域和日志组

  6. 选择保存

默认情况下,Splunk 每 10 分钟提取一次日志数据。这是高级设置下的可配置参数。有关更多信息,请参阅 Splunk 文档中的使用 Splunk Web 配置 CloudWatch 日志输入

Splunk 管理员

配置从中检索 Network Firewall 指标 CloudWatch。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择 “输入”。

  3. 选择 “创建新输入”。

  4. 在列表中,选择CloudWatch

  5. 为您的 Network Firewall 指标提供名称AW S 账户和 AWS 区域

  6. 在 “指标配置” 旁边,选择 “在高级模式下编辑”

  7. (可选)删除所有预配置的命名空间。 

  8. 选择 “添加命名空间”,然后将其命名为 AWS/ NetworkFirewall

  9. 维度值中,添加以下内容。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. 对于指标,选择全部

  11. 对于指标统计信息,选择总和

  12. 选择确定

  13. 选择保存

默认情况下,Splunk 每 5 分钟提取一次指标数据。这是高级设置下的可配置参数。有关更多信息,请参阅 Splunk 文档中的使用 Splunk Web 配置 CloudWatch 输入

Splunk 管理员

将 Splunk 的访问权限配置为 CloudWatch

Task描述所需技能

配置从日志中检索 Network Firewall 日 CloudWatch 志。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择 “输入”。

  3. 选择 “创建新输入”。

  4. 在列表中,选择 “自定义数据类型”,然后选择 “CloudWatch 日志”。

  5. 为您的 Network Firewall 日志提供名称AW S 账户、AWS 区域和日志组

  6. 选择保存

默认情况下,Splunk 每 10 分钟提取一次日志数据。这是高级设置下的可配置参数。有关更多信息,请参阅 Splunk 文档中的使用 Splunk Web 配置 CloudWatch 日志输入

Splunk 管理员

配置从中检索 Network Firewall 指标 CloudWatch。

  1. 在 Splunk 控制面板中,导航到适用于 AWS 的 Splunk 附加组件

  2. 选择 “输入”。

  3. 选择 “创建新输入”。

  4. 在列表中,选择CloudWatch

  5. 为您的 Network Firewall 指标提供名称AW S 账户和 AWS 区域

  6. 在 “指标配置” 旁边,选择 “在高级模式下编辑”

  7. (可选)删除所有预配置的命名空间。 

  8. 选择 “添加命名空间”,然后将其命名为 AWS/ NetworkFirewall

  9. 维度值中,添加以下内容。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. 对于指标,选择全部

  11. 对于指标统计信息,选择总和

  12. 选择确定

  13. 选择保存

默认情况下,Splunk 每 5 分钟提取一次指标数据。这是高级设置下的可配置参数。有关更多信息,请参阅 Splunk 文档中的使用 Splunk Web 配置 CloudWatch 输入

Splunk 管理员
Task描述所需技能

查看排名靠前的源 IP 地址。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    此查询按降序显示流量最多的源 IP 地址表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

查看数据包统计信息。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    此查询显示ReceivedPackets每分钟指标DroppedPacketsPassedPackets、和的表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

查看最常用的源端口。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    此查询按降序显示流量最大的源端口表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

使用查询创建 Splunk 可视化效果

Task描述所需技能

查看排名靠前的源 IP 地址。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    此查询按降序显示流量最多的源 IP 地址表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

查看数据包统计信息。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    此查询显示ReceivedPackets每分钟指标DroppedPacketsPassedPackets、和的表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

查看最常用的源端口。

  1. 在 Splunk 控制面板中,导航到 “搜索和报告”。

  2. 在 “在此处输入搜索” 框中,输入以下内容。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    此查询按降序显示流量最大的源端口表。

  3. 对于图形表示,请选择可视化

Splunk 管理员

相关资源

AWS 文档

AWS Blog 文章

Amazon Web Services Marketplace

下一主题:

更多模式

上一主题:

上一页

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。