F5 BIG-IP 源配置
与 F5 BIG-IP 集成
要将 F5 BIG-IP 与 CloudWatch Logs 集成,必须同时配置来源和管道。首先将 Amazon S3 和 Amazon SQS 配置为接收数据,从而设置 F5 BIG-IP 来源。随后,配置 CloudWatch 管道,将数据来源中的数据摄取到 CloudWatch Logs 中。
设置日志转发
F5 BIG-IP 支持通过遥测流实时传输日志,从而将日志转发到 Amazon S3
Amazon S3 与 Amazon SQS 设置说明
要将 F5 BIG-IP 配置为将日志发送到 Amazon S3 存储桶,需要执行多个步骤。这些步骤主要围绕设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 凭证,然后配置遥测流和 CloudWatch 管道。
-
确保已安装并配置好 F5 BIG-IP 遥测流。创建一个用于存储日志的 Amazon S3 存储桶。建议启用服务器端加密以确保安全。
-
用于存储 F5 BIG-IP 日志的 Amazon S3 存储桶应位于同一 Amazon 区域。
-
为该 Amazon S3 存储桶配置事件通知,需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
-
Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 Amazon 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
配置 F5 BIG-IP 日志转发
-
安装并验证遥测流(TS)扩展程序。
-
创建日志目标(Amazon S3、CloudWatch 或其他受支持的目标)。
-
创建日志发布者并映射目标。
-
创建每个模型(例如 ASM、Advanced WAF)特定的日志记录配置文件。
-
将日志记录配置文件应用于虚拟服务器。
-
配置遥测流(JSON 声明)。
-
定义目标 S3 存储桶和日志类型。
配置遥测流
-
使用声明式 API 端点配置遥测流:
/mgmt/shared/telemetry/declare。 -
使用
Telemetry类定义遥测配置。 -
定义一个用于接收日志的遥测侦听器(例如,端口 6514)。
-
定义一个 Amazon S3 类型的遥测使用者:配置存储桶名称和区域,并提供用于身份验证的 IAM 访问密钥和私密密钥。
配置 CloudWatch 管道
配置管道以从 F5 BIG-IP 读取数据时,请将 F5 BIG-IP 选择为数据来源。填写必填信息并创建管道后,所选的 CloudWatch Logs 日志组中将显示数据。
支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 v1.5.0 以及映射到“网络活动”(4001)和“HTTP 活动”(4002)的 F5 BIG-IP 事件。以下列表显示了每个事件的来源。
网络活动(4001)包含以下日志格式:
HTTP 活动(4002)包含以下日志格式:
与任何 OCSF 映射转换不匹配的事件会自动传递并直接发送到配置的接收器,无需额外处理。