[AWS] VPC Flow Logs로 트래픽 로그 확인하기(2)

 

VPC Flow logs 생성

VPC, Subnet, 네트워크 인터페이스 중 Flow logs를 생성할 리소스로 들어갑니다.

Flow logs를 생성할 리소스에 진입 후 플로우 로그 생성 메뉴를 통해 생성 화면으로 들어갑니다.

 

Flow logs 생성을 위해 이름, 캡처 트래픽 유형, 집계 간격 등 설정을 선택합니다.

저는 Flow log를 CloudWatch Logs로 받기위해 IAM 역할, 로그 그룹을 생성 했기에 CloudWatch Logs로 받는 방식을 선택했습니다.

이전에 생성한 CloudWatch 로그 그룹, IAM 역할을 선택합니다.

필요에 따라 로그 레코드 형식을 변경하면 로그가 수집되는 형식을 변경할 수도 있습니다.

 

Flow logs를 생성한 리소스를 클릭 후 플로우 로그 메뉴를 선택하면 생성한 Flow logs를 확인할 수 있습니다.

 

VPC Flow logs 확인

셍성된 VPC Flow logs를 확인하기 위해 CloudWatch -> 로그 그룹 -> 생성한 로그 그룹으로 들어갑니다.

Flow logs 생성 몇 분 후 로그 스트림에 트래픽 로그가 생성되어 있습니다.

 

이전에 설명 드린 바와 같이 Flow logs 리소스를 Subnet 단위로 생성했지만 실제로는 각 서브넷에 포함된 네트워크 인터페이스를 기반으로 Flow logs가 생성됩니다.

그래서 로그 스트림 생성 유형을 보면 [ENI ID-트래픽 캡쳐 유형(all/accept/reject)] 형태로 생성되는 것을 볼 수 있습니다.

 

수집된 로그는 로그 스트림 별로 확인하거나 모든 로그 스트림을 통합으로 확인 할 수 있습니다.

 

로그 형식은 Flow logs 생성 시 로그 레코드 형식에서 지정한 형식으로 저장됩니다.

 

로그를 확인해 보면 아래와 같은 형식으로 저장되어 있으며 형식은 기본 로깅 형식으로 되어있습니다.

${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

필드	설명
version	VPC Flow Log Version
account-id	트래픽이 기록되는 소스 네트워크 인터페이스 소유자의 AWS 계정 ID
interface-id	트래픽이 기록되는 네트워크 인터페이스 ID
srcaddr	들어오는 트래픽의 소스 주소 또는 네트워크 인터페이스의 나가는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소
dstaddr	나가는 트래픽의 대상 주소 또는 네트워크 인터페이스의 들어오는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소.
srcport	트래픽의 소스 포트
dstport	트래픽의 대상 포트
protocol	패킷에 대한 Protocol Number
packets	캡처 중 전송된 패킷 수
bytes	캡처 중 전송된 바이트 수
start	캡처 시작 시간 (단위 : Unix 초)
end	캡처 종료 시간 (단위 : Unix 초)
action	ACCEPT : 보안 그룹 및 네트워크 ACL에서 허용한 기록된 트래픽 REJECT : 보안 그룹 또는 네트워크 ACL에서 허용하지 않은 트래픽
log-status	Flow Log의 로깅 상태 – OK: 데이터가 선택된 대상에 정상적으로 로깅 – NODATA: 캡처 기간 중 ENI에서 전송하거나 수신된 네트워크 트래픽이 없을 경우 – SKIPDATA: 캡처 기간 중 일부 Flow Log 레코드를 건너뜀. 내부용량 제한 또는 내부오류 원인 가능

 

다음 편은 Flow logs를 S3로 받아서 확인 하는 법을 알아보겠습니다~!!