AWS VPC FlowLog

안녕하세요.

할배즈.. 입니다.

오늘은 AWS VPC FlowLog에 대해 알아 보겠습니다.

 

VPC Flow Losg는 VPC내의 트래픽 로그를 저장하여 이슈나 장애 발생시 혹은 트래픽의 흐름을 파악하기 위한 용도로 사용되고 있습니다.

 

특징

• 네트워크 연결 문제 해결 및 보안 문제, 네트워크상 접근 규칙이 정상 작동하는지 확인하기 위해 Flow log 수집, 저장 및 분석 가능
• EC2에 직접 에이전트를 설치하여 데이터 수집 시 해당 인스턴스에 부하를 줄 수 있음
• VPC Subnet과 ENI 의 네트워크 트래픽이 CloudWatch Logs를 통해 저장된 후 별도 응용 프로그램 등에서 분석 가능
• 특정 유형의 트래픽을 감지하여 알람을 만들거나 트래픽의 변화와 패턴을 파악하기 위한 통계를 만들 수도 있음

Log에 포함된 정보

• Security Group 및 NACL 규칙에 의해 허용 또는 차단 트래픽 정보
• 소스, 목적지IP 주소, 포트, 프로토콜 번호, 패킷 바이트, 모니터링 간격 시간, Action(ACCEPT or REJECT)
•  

필드 설명

필드	설명
version	VPC Flow Log Version
account-id	트래픽이 기록되는 소스 네트워크 인터페이스 소유자의 AWS 계정 ID
interface-id	트래픽이 기록되는 네트워크 인터페이스 ID
srcaddr	들어오는 트래픽의 소스 주소 또는 네트워크 인터페이스의 나가는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소
dstaddr	나가는 트래픽의 대상 주소 또는 네트워크 인터페이스의 들어오는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소.
srcport	트래픽의 소스 포트
dstport	트래픽의 대상 포트
protocol	패킷에 대한 Protocol Number
packets	캡처 중 전송된 패킷 수
bytes	캡처 중 전송된 바이트 수
start	캡처 시작 시간 (단위 : Unix 초)
end	캡처 종료 시간 (단위 : Unix 초)
action	ACCEPT : 보안 그룹 및 네트워크 ACL에서 허용한 기록된 트래픽 REJECT : 보안 그룹 또는 네트워크 ACL에서 허용하지 않은 트래픽
log-status	Flow Log의 로깅 상태 – OK: 데이터가 선택된 대상에 정상적으로 로깅 – NODATA: 캡처 기간 중 ENI에서 전송하거나 수신된 네트워크 트래픽이 없을 경우 – SKIPDATA: 캡처 기간 중 일부 Flow Log 레코드를 건너뜀. 내부용량 제한 또는 내부오류 원인 가능

 

VPC 뿐만 아니라 다음과 같은 서비스에도 네트워크 인터페이스에 대한 로그를 생성 할 수 있습니다

1. Elastic Load Balancing

2. RDS

3. ElastiCache

4. Redshift

5. WorkSpaces

6. NAT

FlowLog를 통해 트래픽의 흐름을 파악하여 트러블 슈팅과 운영에 큰 도움이 될 것 같습니다.

 

감사합니다.