# F5 BIG-IP 源配置
## 与 F5 BIG-IP 集成
要将 F5 BIG-IP 与 CloudWatch Logs 集成,必须同时配置来源和管道。首先将 Amazon S3 和 Amazon SQS 配置为接收数据,从而设置 F5 BIG-IP 来源。随后,配置 CloudWatch 管道,将数据来源中的数据摄取到 CloudWatch Logs 中。
## 设置日志转发
F5 BIG-IP 支持通过遥测流实时传输日志,从而[将日志转发到 Amazon S3](https://clouddocs.f5.com/products/extensions/f5-telemetry-streaming/latest/setting-up-consumer.html#awss3-ref)。
## Amazon S3 与 Amazon SQS 设置说明
要将 F5 BIG-IP 配置为将日志发送到 Amazon S3 存储桶,需要执行多个步骤。这些步骤主要围绕设置 Amazon S3 存储桶、Amazon SQS 队列和 IAM 凭证,然后配置遥测流和 CloudWatch 管道。
+ 确保已安装并配置好 F5 BIG-IP 遥测流。创建一个用于存储日志的 Amazon S3 存储桶。建议启用服务器端加密以确保安全。
+ 用于存储 F5 BIG-IP 日志的 Amazon S3 存储桶应位于同一 Amazon 区域。
+ 为该 Amazon S3 存储桶配置事件通知,需专门针对“对象创建”事件进行设置。这些通知需发送到 Amazon SQS 队列。
+ Amazon SQS 队列必须与您的 Amazon S3 存储桶位于同一 Amazon 区域。此队列将在新的日志文件添加到 Amazon S3 存储桶时收到通知。
## 配置 F5 BIG-IP 日志转发
+ 安装并验证遥测流(TS)扩展程序。
+ 创建日志目标(Amazon S3、CloudWatch 或其他受支持的目标)。
+ 创建日志发布者并映射目标。
+ 创建每个模型(例如 ASM、Advanced WAF)特定的日志记录配置文件。
+ 将日志记录配置文件应用于虚拟服务器。
+ 配置遥测流(JSON 声明)。
+ 定义目标 S3 存储桶和日志类型。
## 配置遥测流
+ 使用声明式 API 端点配置遥测流:`/mgmt/shared/telemetry/declare`。
+ 使用 `Telemetry` 类定义遥测配置。
+ 定义一个用于接收日志的遥测侦听器(例如,端口 6514)。
+ 定义一个 Amazon S3 类型的遥测使用者:配置存储桶名称和区域,并提供用于身份验证的 IAM 访问密钥和私密密钥。
## 配置 CloudWatch 管道
配置管道以从 F5 BIG-IP 读取数据时,请将 F5 BIG-IP 选择为数据来源。填写必填信息并创建管道后,所选的 CloudWatch Logs 日志组中将显示数据。
## 支持的开放式网络安全架构框架事件类
此集成支持 OCSF 架构版本 v1.5.0 以及映射到“网络活动”(4001)和“HTTP 活动”(4002)的 F5 BIG-IP 事件。以下列表显示了每个事件的来源。
**网络活动(4001)**包含以下日志格式:
+ [AFM](https://clouddocs.f5.com/products/extensions/f5-telemetry-streaming/latest/event-listener.html#afm)
+ [APM](https://clouddocs.f5.com/products/extensions/f5-telemetry-streaming/latest/event-listener.html#apm)
**HTTP 活动(4002)**包含以下日志格式:
+ [ASM](https://clouddocs.f5.com/products/extensions/f5-telemetry-streaming/latest/event-listener.html#asm)
+ [LTM](https://clouddocs.f5.com/products/extensions/f5-telemetry-streaming/latest/event-listener.html#requestlog)
+ Advanced WAF
与任何 OCSF 映射转换不匹配的事件会自动传递并直接发送到配置的接收器,无需额外处理。