145.VPC Flow log 남겨 문제 확인하기

<1> 목적

<2> 설정 순서

<3> 테스트

<4> 추가 실습 

<1> 목적

1

Cloudwatch logs  만들고  vpc flow logs 만들어 확인하자

logs 쓸 role이 있어야 한다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/flow-logs-cwl.html

CloudWatch Logs에 흐름 로그 게시 - Amazon Virtual Private Cloud

2

기본적으로는 활성화 되어 있지 않다.

3

지원하는것  : VPC내에서 생성된 네트워크만 지원함.

지원하는 않는것 :  일본의 EC2-Classic 서버 지원 안함.  DNS서버와 통신 트래픽 지원 안함

<2>  설정 순서

1.  우선 리전 선택

2. 우선 로그를 남길 목적지  Cloudwatch  Logs log group을 생성해야 한다.

3. VPC  Flow  Logs를  생성 해야 한다.  Create flow  log

1.  우선 리전 선택

2.  Cloudwatch  Logs log group을 생성해야 한다.

1) CloudWatch > Cloudwatch  Logs 에  VPC Flow  log를 남기기 위해 log group을 만든다.  

Create log group   >   

seo-vpc-flow-logs1 

>   만기설정 1일(테스트니까) > 생성

or

2) S3 버킷에 남기려면 S3버킷을 하나 만든다.

3. VPC에서  Flow  Logs를 생성 해야 한다.  

Create flow  log

모두 , 1분으로 세팅한다.

1)  VPC > Your VPCs > 모니터링할 VPC 체크  >   작업 > 플로우 로그 생성 > my-flow-log-01

2) 필터링 옵션 ?  수락만, 거부만,  모두   

모두

3) 최대 집계 간격?  

10분 단위 수집 -> 

1분 

4) 대상 로그 그룹 : 이미 만들어 놓은   seo-vpc-flow-logs2

5)  IAM 역할을 생성한다.   

role을 선택한다.

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/flow-logs-cwl.html

CloudWatch Logs에 흐름 로그 게시 - Amazon Virtual Private Cloud

6) 로그 레코드 형식  > 사용자 지정형식

다음은 AWS 기본 형식

${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

사용자 지정형식에서  아래 여러개를 선택한다.

${srcaddr} ${srcport} ${dstaddr} ${dstport} ${tcp-flags} ${protocol} ${action} ${instance-id}

> 플로 로그 생성

3.  VPC 에서 Flow Logs가 생성되었는지 확인한다.

VPC >   플로우 로그 >  대상이름 클릭해 로그를 볼수 있다.

허용 로그와 전체 로그 2개 만들어서도 볼수 있다.

<3>   VPC 안에 EC2를 하나 만들고  putty로 접속후 로그를 확인한다.

1

Cloudwatch에서 log를 확인한다.

Cloudwatch > Logs >  vpc-flow-log1

2. Flow Logs 는 생성된 것은 변경이 안된다.

1)  변경하려면 삭제하고 재 생성 해야 한다.

2)  태깅이 안된다.

3)  VPC 내 생성된 네트워크 인터페이스만 된다.

4)  DNS트래픽은 안한다.

3

1.  내부 EC에서 외부로 ping test 한다.

or

NAT 게이트웨이을 만들어 , EC2를 하나 만들어  외부에 ping test 해 본다.

4. vpc-flow-logs1을 본다.

flowlogs.txt

[version, account, eni, source="10.0.0.1", destination, srcport, destport, protocol, packets, bytes, windowstart, windowend, action, flowlogstatus]

필터링 해서 본다.  "80 2 6"      =  tcp 80 

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Filter and Pattern Syntax - Amazon CloudWatch Logs

다음과 같은 다른 AWS 서비스에서 생성한 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다.

      Elastic Load Balancing    

      Amazon RDS    

      Amazon ElastiCache    

      Amazon Redshift    

      Amazon WorkSpaces    

      NAT 게이트웨이    

      전송 게이트웨이    

자세한 내용

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/flow-logs.html

<4> 추가 실습 

https://brunch.co.kr/@topasvga/1220

425. VPC flow log, ES로 확인

https://brunch.co.kr/@topasvga/1180

392. 서버,VPC flow,Trail을 ES모니터링

감사합니다.