배경.

AWS에서 TCP 청중의 NLB를 구축할 때
모든 것이 정확한 설정으로 보이지만 왠지 로그를 출력할 수 없는 사건을 당했다.
ALB와 같이 액세스 로그를 출력할 줄 알았는데
TCP 청중의 경우 동작 로그를 출력하지 않는 방법입니다.
VPC 프로세스 로그를 설정할 수 있는 정보를 얻었습니다.

존재를 인식했지만 접촉한 적이 없다

어떤 방식으로 업무를 확인할 수 있는 사람이 있다면

그래서 나는 문서를 읽으면서 설정을 시도하기로 했다.

의 목적

AWS의 문서를 읽거나 실제로 설정해 보면 모처럼 기회가 있으니 명확한 부분을 정리해 보자.

VPC 프로세스 로그 とは

VPC 내 네트워크 인터페이스에서 오가는 트래픽 포착
주로 다음과 같은 정보를 포함한다.
※ 자세한 내용여기.
필드
개요
version
로그 형식 버전
account-id
AWS 계정 ID
interface-id
네트워크 인터페이스 ID(eni-)
srcaddr
수신 업무의 원본 주소
dstaddr
업무 목적 주소 보내기
srcport
소스 포트
dstport
목적 포트
protocol
업무 협의
packets
전달된 그룹 수
bytes
전송 바이트 수
start
첫 번째 그룹 수신 시간
end
마지막 그룹 수신 시간
action
보안 그룹 또는 네트워크 ACL을 통해 라이센스를 받는지 여부
log-status
Logging 상태

로그 형식

다음 두 가지 유형.

기본 형식

사용자 정의 형식

사용자 정의 형식의 경우 각 필드의 출력 순서와 각 필드의 출력 여부를 사용자 정의할 수 있습니다.

로그 형식 버전

2020년 5월까지 최신 버전은 3, 기본 버전은 2다.
기본 형식으로 VPC 스트리밍 로그를 작성한 경우 로그 필드에 포함된 버전 2의 필드이며, 사용자 정의 형식이면 버전 3의 필드도 사용할 수 있습니다.

로그 전송 대상

선택 항목은 Cloudwatch Logs와 S3 Bucket 두 가지가 있는데 각각의 특징은 다음과 같다.

Cloudwatch Logs

기본 형식만 지원

Cloudwacth 경고와 연계

S3 Bucket

사용자 정의 형식 사용 가능

Athena에서 로그 검색

설정 방법

이번에는 NLB의 네트워크 인터페이스를 설정해 발송 목적지는 S3(사전 제작 완료)로 사용자 정의 형식으로 테스트를 진행해 봤다.
콘솔에서 EC2 > 네트워크 인터페이스 > NLB에 부속된 네트워크 인터페이스를 선택하면 화면 아래에 흐름 로그 탭이 표시되며 "흐름 로그 만들기"를 누르십시오.

필요한 사항을 입력하다.

Filter 막대에서는 Accept, Reject, All을 선택할 수 있습니다.
S3 구간의 칸에도 열쇠가 포함될 수 있으며 한 S3 버킷에 여러 개의 VPC 흐름 로그를 포함한다고 할 수 있다.
여기서 끝내도록 설정합니다.

발행 일지

version account-id instance-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
3 unknown - eni-xxxxxxxxxxx 10.1.1.15 10.1.2.32 1433 57640 6 3 164 1589466553 1589466612 ACCEPT OK

감상

간단한 설정

이 로그에서 가장 확인할 수 있는 것은 보안팀에서 권한을 수여받은 업무가 사실인지 여부

건강검진일지는 건성건성

바이트 수가 기록되어 있기 때문에 건강검진인가 서비스의 바이트 수가 유일한 비교재료인가?

여전히 안전한 측면에서 이용하는 물건의 인상.서비스용 문제 해결이 아닌 것 같습니다

주의점

목적지 발송에 상관없이 비용은 클라우드워치의 로그에 따라 지불됩니다.

로깅은 첫 번째 그룹과 마지막 그룹을 수신하지만 UNIX 초이기 때문에 다시 읽어야 합니다.

프로세스 로그를 작성하고 실제 출력에서 목적지를 보내는 데 시간이 좀 걸린다.