選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶
使用 Splunk 檢視 AWS Network Firewall 日誌和指標 - AWS 方案指引
Summary先決條件和限制架構工具史詩相關資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Splunk 檢視 AWS Network Firewall 日誌和指標

PDF

由 Ivo Pinto 建立

Summary

許多組織使用 Splunk Enterprise 做為來自不同來源的日誌和指標的集中彙整和視覺化工具。此模式可協助您設定 Splunk 使用 Splunk Add-On for AWS 從 Amazon CloudWatch Logs 擷取 AWS Network Firewall 日誌和指標。 Amazon CloudWatch  

若要達成此目的,您可以建立唯讀 AWS Identity and Access Management (IAM) 角色。Splunk Add-On for AWS 使用此角色存取 CloudWatch。您可以設定 Splunk Add-On for AWS 以從 CloudWatch 擷取指標和日誌。最後,您可以從擷取的日誌資料和指標,在 Splunk 中建立視覺化效果。

先決條件和限制

先決條件

  • Splunk 帳戶

  • Splunk Enterprise 執行個體,8.2.2 版或更新版本 

  • 作用中的 AWS 帳戶

  • Network Firewall,設定設定 將日誌傳送至 CloudWatch Logs

限制

  • Splunk Enterprise 必須部署為 AWS 雲端中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體叢集。

  • AWS 中國區域不支援使用自動探索的 Amazon EC2 IAM 角色收集資料。

架構

AWS Network Firewall 和 Splunk 記錄架構

此圖展示了以下要點:

  1. Network Firewall 會將日誌發佈至 CloudWatch Logs。

  2. Splunk Enterprise 會從 CloudWatch 擷取指標和日誌。

若要在此架構中填入範例指標和日誌,工作負載會產生通過 Network Firewall 端點的流量,以前往網際網路。這是透過使用路由表來達成。雖然此模式使用單一 Amazon EC2 執行個體做為工作負載,但只要 Network Firewall 設定為將日誌傳送至 CloudWatch Logs,此模式就可以套用至任何架構。

此架構也會在另一個虛擬私有雲端 (VPC) 中使用 Splunk Enterprise 執行個體。不過,Splunk 執行個體可以位於另一個位置,例如與工作負載相同的 VPC,只要它可以到達 CloudWatch APIs。

工具

AWS 服務

  • Amazon CloudWatch Logs 可協助您集中所有系統、應用程式和 AWS 服務的日誌,以便您可以監控日誌並將其安全地封存。

  • Amazon Elastic Compute Cloud (Amazon EC2) 在 AWS 雲端中提供可擴展的運算容量。您可以視需要啟動任意數量的虛擬伺服器,,並快速進行擴展或縮減。

  • AWS Network Firewall 是 AWS 雲端中 VPCs 具狀態、受管的網路防火牆和入侵偵測和預防服務。

其他工具

  • Splunk 可協助您監控、視覺化和分析日誌資料。

史詩

任務描述所需技能

建立 IAM 政策。

遵循使用 JSON 編輯器建立政策中的指示,建立授予 CloudWatch Logs 資料和 CloudWatch 指標唯讀存取權的 IAM 政策。將以下 政策貼到 JSON 編輯器。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理員

建立新的 IAM 角色。

請遵循建立角色以將許可委派給 AWS 服務中的指示,以建立 Splunk Add-On for AWS 用來存取 CloudWatch 的 IAM 角色。針對許可政策,選擇您先前建立的政策。

AWS 管理員

將 IAM 角色指派給 Splunk 叢集中的 EC2 執行個體。

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取 Splunk 叢集中的 EC2 執行個體。

  4. 選擇動作安全性,然後選擇修改 IAM 角色

  5. 選取您先前建立的 IAM 角色,然後選擇儲存

AWS 管理員

建立 IAM 角色

任務描述所需技能

建立 IAM 政策。

遵循使用 JSON 編輯器建立政策中的指示,建立授予 CloudWatch Logs 資料和 CloudWatch 指標唯讀存取權的 IAM 政策。將以下 政策貼到 JSON 編輯器。

{
    "Statement": [
        {
            "Action": [
                "cloudwatch:List*",
                "cloudwatch:Get*",
                "network-firewall:List*",
                "logs:Describe*",
                "logs:Get*",
                "logs:List*",
                "logs:StartQuery",
                "logs:StopQuery",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents",
                "network-firewall:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "2012-10-17"
}
AWS 管理員

建立新的 IAM 角色。

請遵循建立角色以將許可委派給 AWS 服務中的指示,以建立 Splunk Add-On for AWS 用來存取 CloudWatch 的 IAM 角色。針對許可政策,選擇您先前建立的政策。

AWS 管理員

將 IAM 角色指派給 Splunk 叢集中的 EC2 執行個體。

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取 Splunk 叢集中的 EC2 執行個體。

  4. 選擇動作安全性,然後選擇修改 IAM 角色

  5. 選取您先前建立的 IAM 角色,然後選擇儲存

AWS 管理員
任務描述所需技能

安裝 附加元件。

  1. 在 Splunk 儀表板中,導覽至 Splunk 應用程式

  2. 搜尋 Amazon Web Services 的 Splunk 附加元件

  3. 選擇 Install (安裝)

  4. 提供您的 Splunk 登入資料。

Splunk 管理員

設定 AWS 登入資料。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇 Configuration (組態)

  3. 自動探索的 IAM 角色欄中,選取您先前建立的 IAM 角色。

如需詳細資訊,請參閱 Splunk 文件中的在 Splunk 平台執行個體中尋找 IAM 角色

Splunk 管理員

安裝適用於 AWS 的 Splunk 附加元件

任務描述所需技能

安裝 附加元件。

  1. 在 Splunk 儀表板中,導覽至 Splunk 應用程式

  2. 搜尋 Amazon Web Services 的 Splunk 附加元件

  3. 選擇 Install (安裝)

  4. 提供您的 Splunk 登入資料。

Splunk 管理員

設定 AWS 登入資料。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇 Configuration (組態)

  3. 自動探索的 IAM 角色欄中,選取您先前建立的 IAM 角色。

如需詳細資訊,請參閱 Splunk 文件中的在 Splunk 平台執行個體中尋找 IAM 角色

Splunk 管理員
任務描述所需技能

設定從 CloudWatch Logs 擷取 Network Firewall 日誌。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇輸入

  3. 選擇建立新輸入

  4. 在清單中,選擇自訂資料類型,然後選擇 CloudWatch Logs

  5. 為您的網路防火牆日誌提供名稱AWS 帳戶AWS 區域日誌群組

  6. 選擇 Save (儲存)。

根據預設,Splunk 每 10 分鐘擷取日誌資料。這是進階設定下的可設定參數。如需詳細資訊,請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch Logs 輸入

Splunk 管理員

設定從 CloudWatch 擷取 Network Firewall 指標。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇輸入

  3. 選擇建立新輸入

  4. 在清單中,選擇 CloudWatch

  5. 為您的 Network Firewall 指標提供名稱AWS 帳戶AWS 區域

  6. 指標組態旁邊,選擇進階模式中的編輯

  7. (選用) 刪除所有預先設定的命名空間。 

  8. 選擇新增命名空間,然後命名為 AWS/NetworkFirewall

  9. 維度值中,新增下列項目。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. 針對指標,選擇全部

  11. 針對指標統計資料,選擇總和

  12. 選擇確定

  13. 選擇 Save (儲存)。

根據預設,Splunk 每 5 分鐘擷取一次指標資料。這是進階設定下的可設定參數。如需詳細資訊,請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch 輸入

Splunk 管理員

設定 Splunk 對 CloudWatch 的存取

任務描述所需技能

設定從 CloudWatch Logs 擷取 Network Firewall 日誌。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇輸入

  3. 選擇建立新輸入

  4. 在清單中,選擇自訂資料類型,然後選擇 CloudWatch Logs

  5. 為您的網路防火牆日誌提供名稱AWS 帳戶AWS 區域日誌群組

  6. 選擇 Save (儲存)。

根據預設,Splunk 每 10 分鐘擷取日誌資料。這是進階設定下的可設定參數。如需詳細資訊,請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch Logs 輸入

Splunk 管理員

設定從 CloudWatch 擷取 Network Firewall 指標。

  1. 在 Splunk 儀表板中,導覽至適用於 AWS 的 Splunk 附加元件

  2. 選擇輸入

  3. 選擇建立新輸入

  4. 在清單中,選擇 CloudWatch

  5. 為您的 Network Firewall 指標提供名稱AWS 帳戶AWS 區域

  6. 指標組態旁邊,選擇進階模式中的編輯

  7. (選用) 刪除所有預先設定的命名空間。 

  8. 選擇新增命名空間,然後命名為 AWS/NetworkFirewall

  9. 維度值中,新增下列項目。

    [{"AvailabilityZone":[".*"],"Engine":[".*"],"FirewallName":[".*"]}]

  10. 針對指標,選擇全部

  11. 針對指標統計資料,選擇總和

  12. 選擇確定

  13. 選擇 Save (儲存)。

根據預設,Splunk 每 5 分鐘擷取一次指標資料。這是進階設定下的可設定參數。如需詳細資訊,請參閱 Splunk 文件中的使用 Splunk Web 設定 CloudWatch 輸入

Splunk 管理員
任務描述所需技能

檢視最高來源 IP 地址。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    此查詢會以遞減順序顯示流量最多的來源 IP 地址資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

檢視封包統計資料。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    此查詢會顯示指標 DroppedPacketsPassedPacketsReceivedPackets 每分鐘的資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

檢視最常用的來源連接埠。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    此查詢會以遞減順序顯示流量最多的來源連接埠資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

使用查詢建立 Splunk 視覺化

任務描述所需技能

檢視最高來源 IP 地址。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatchlogs" | top event.src_ip

    此查詢會以遞減順序顯示流量最多的來源 IP 地址資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

檢視封包統計資料。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatch"| timechart sum(Sum) by metric_name

    此查詢會顯示指標 DroppedPacketsPassedPacketsReceivedPackets 每分鐘的資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

檢視最常用的來源連接埠。

  1. 在 Splunk 儀表板中,導覽至搜尋和報告

  2. 此處輸入搜尋方塊中,輸入下列內容。

    sourcetype="aws:cloudwatchlogs" | top event.dest_port

    此查詢會以遞減順序顯示流量最多的來源連接埠資料表。

  3. 針對圖形表示,選擇視覺化

Splunk 管理員

相關資源

AWS 文件

AWS 部落格文章

AWS Marketplace

下一個主題:

更多模式

上一個主題:

上一頁

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。