监控 AWS 网络防火墙日志
编辑监控 AWS 网络防火墙日志
编辑在本节中,您将学习如何使用 Amazon Data Firehose 将 AWS 网络防火墙日志事件从 AWS 发送到您的 Elastic Stack。
您将执行以下步骤:
- 选择与 AWS 网络防火墙兼容的资源
- 在 Amazon Data Firehose 中创建交付流
- 设置日志记录以使用 Firehose 流将日志转发到 Elastic Stack
- 在 Kibana 中可视化您的日志
开始之前
编辑我们假设您已经拥有:
- 一个拥有从 AWS 拉取必要数据的权限的 AWS 账户。
- 一个在我们托管的 Elasticsearch 服务上的部署 Elastic Cloud。该部署包含一个用于存储和搜索数据的 Elasticsearch 集群,以及一个用于可视化和管理数据的 Kibana。AWS Data Firehose 仅与在 Elastic Cloud 上运行的 7.17 或更高版本的 Elastic Stack 兼容。
不支持 AWS PrivateLink。请确保部署在 AWS 上,因为 Amazon Data Firehose 传输流专门连接到 AWS 上的端点。
步骤 1:在 Kibana 中安装 AWS 集成
编辑- 在主菜单中找到集成,或使用全局搜索字段。
- 浏览目录以查找 AWS 集成。
- 导航到设置选项卡,然后点击安装 AWS 资源。
步骤 2:选择资源
编辑
您可以使用现有的 AWS 网络防火墙,也可以创建一个新的防火墙用于测试。
创建网络防火墙并非易事,超出了本指南的范围。有关更多信息,请查看 AWS 文档中的AWS 网络防火墙入门指南。
步骤 3:在 Amazon Data Firehose 中创建流
编辑
- 转到AWS 控制台并导航到 Amazon Data Firehose。
- 点击创建 Firehose 流并选择 Firehose 流的源和目标。将源设置为
Direct PUT,将目标设置为Elastic。 -
从您在 Elastic Cloud 上的部署中收集 Elasticsearch 端点和 API 密钥。
- Elastic 端点 URL:输入您的 Elasticsearch 集群的 Elasticsearch 端点 URL。要查找 Elasticsearch 端点,请转到 Elastic Cloud 控制台并选择连接详细信息。
- API 密钥:输入编码后的 Elastic API 密钥。要创建 API 密钥,请转到 Elastic Cloud 控制台,选择连接详细信息,然后点击创建和管理 API 密钥。如果您使用的是具有限制权限的 API 密钥,请务必查看索引权限,至少为将与该交付流一起使用的索引提供“auto_configure”和“write”权限。
-
通过指定以下数据来设置交付流:
- Elastic 端点 URL
- API 密钥
- 内容编码:gzip
- 重试时长:60(默认)
- 参数es_datastream_name =
logs-aws.firewall_logs-default - 备份设置:仅将失败的数据备份到 s3 存储桶
Firehose 流已准备好将日志发送到我们的 Elastic Cloud 部署。
步骤 4:启用日志记录
编辑
AWS 网络防火墙日志具有内置的日志记录支持。它可以将日志发送到 Amazon S3、Amazon CloudWatch 和 Amazon Kinesis Data Firehose。
要启用对 Amazon Data Firehose 的日志记录:
- 在 AWS 控制台中,导航到 AWS 网络防火墙服务。
- 选择要为其启用日志记录的防火墙。
- 在日志记录部分中,点击编辑。
- 选择将日志发送到选项,然后选择Kinesis Data Firehose。
- 选择您在上一步中创建的 Firehose 流。
- 点击保存。
此时,网络防火墙将开始将日志发送到 Firehose 流。
步骤 5:在 Kibana 中可视化您的网络防火墙日志
编辑
设置新的日志记录设置后,网络防火墙将开始将日志事件发送到 Firehose 流。
导航到 Kibana 并选择使用 Discover 可视化您的日志。
