NLB에서 VPPCFlowLogs 설정

3088 단어 NLBAWSVPCFlowLogs

배경.


AWS에서 TCP 청중의 NLB를 구축할 때
모든 것이 정확한 설정으로 보이지만 왠지 로그를 출력할 수 없는 사건을 당했다.
ALB와 같이 액세스 로그를 출력할 줄 알았는데
TCP 청중의 경우 동작 로그를 출력하지 않는 방법입니다.
VPC 프로세스 로그를 설정할 수 있는 정보를 얻었습니다.
  • 존재를 인식했지만 접촉한 적이 없다
  • 어떤 방식으로 업무를 확인할 수 있는 사람이 있다면
  • 그래서 나는 문서를 읽으면서 설정을 시도하기로 했다.

    의 목적


    AWS의 문서를 읽거나 실제로 설정해 보면 모처럼 기회가 있으니 명확한 부분을 정리해 보자.

    VPC 프로세스 로그 とは


    VPC 내 네트워크 인터페이스에서 오가는 트래픽 포착
    주로 다음과 같은 정보를 포함한다.
    ※ 자세한 내용여기.
    필드
    개요
    version
    로그 형식 버전
    account-id
    AWS 계정 ID
    interface-id
    네트워크 인터페이스 ID(eni-)
    srcaddr
    수신 업무의 원본 주소
    dstaddr
    업무 목적 주소 보내기
    srcport
    소스 포트
    dstport
    목적 포트
    protocol
    업무 협의
    packets
    전달된 그룹 수
    bytes
    전송 바이트 수
    start
    첫 번째 그룹 수신 시간
    end
    마지막 그룹 수신 시간
    action
    보안 그룹 또는 네트워크 ACL을 통해 라이센스를 받는지 여부
    log-status
    Logging 상태

    로그 형식


    다음 두 가지 유형.
  • 기본 형식
  • 사용자 정의 형식
  • 사용자 정의 형식의 경우 각 필드의 출력 순서와 각 필드의 출력 여부를 사용자 정의할 수 있습니다.

    로그 형식 버전


    2020년 5월까지 최신 버전은 3, 기본 버전은 2다.
    기본 형식으로 VPC 스트리밍 로그를 작성한 경우 로그 필드에 포함된 버전 2의 필드이며, 사용자 정의 형식이면 버전 3의 필드도 사용할 수 있습니다.

    로그 전송 대상


    선택 항목은 Cloudwatch Logs와 S3 Bucket 두 가지가 있는데 각각의 특징은 다음과 같다.

  • Cloudwatch Logs
  • 기본 형식만 지원
  • Cloudwacth 경고와 연계

  • S3 Bucket
  • 사용자 정의 형식 사용 가능
  • Athena에서 로그 검색
  • 설정 방법


    이번에는 NLB의 네트워크 인터페이스를 설정해 발송 목적지는 S3(사전 제작 완료)로 사용자 정의 형식으로 테스트를 진행해 봤다.
    콘솔에서 EC2 > 네트워크 인터페이스 > NLB에 부속된 네트워크 인터페이스를 선택하면 화면 아래에 흐름 로그 탭이 표시되며 "흐름 로그 만들기"를 누르십시오.

    필요한 사항을 입력하다.

    Filter 막대에서는 Accept, Reject, All을 선택할 수 있습니다.
    S3 구간의 칸에도 열쇠가 포함될 수 있으며 한 S3 버킷에 여러 개의 VPC 흐름 로그를 포함한다고 할 수 있다.
    여기서 끝내도록 설정합니다.

    발행 일지

    version account-id instance-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
    3 unknown - eni-xxxxxxxxxxx 10.1.1.15 10.1.2.32 1433 57640 6 3 164 1589466553 1589466612 ACCEPT OK
    

    감상

  • 간단한 설정
  • 이 로그에서 가장 확인할 수 있는 것은 보안팀에서 권한을 수여받은 업무가 사실인지 여부
  • 건강검진일지는 건성건성
  • 바이트 수가 기록되어 있기 때문에 건강검진인가 서비스의 바이트 수가 유일한 비교재료인가?
  • 여전히 안전한 측면에서 이용하는 물건의 인상.서비스용 문제 해결이 아닌 것 같습니다
  • 주의점

  • 목적지 발송에 상관없이 비용은 클라우드워치의 로그에 따라 지불됩니다.
  • 로깅은 첫 번째 그룹과 마지막 그룹을 수신하지만 UNIX 초이기 때문에 다시 읽어야 합니다.
  • 프로세스 로그를 작성하고 실제 출력에서 목적지를 보내는 데 시간이 좀 걸린다.
  • 좋은 웹페이지 즐겨찾기