VPC Flow Logs를 사용하여 애플리케이션 로깅 및 모니터링

VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처하는 데 사용할 수 있는 Amazon Virtual Private Cloud(VPC)의 기능입니다.

VPC Flow Logs 사용

Virtual Private Cloud(VPC), 서브넷 또는 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다. 서브넷이나 VPC에 대한 흐름 로그를 생성할 경우, VPC 또는 서브넷의 각 네트워크 인터페이스가 모니터링됩니다. 자세한 내용은 흐름 로그 작업(Amazon VPC 설명서)을 참조하세요.

모니터링된 네트워크 인터페이스의 흐름 로그 데이터는 흐름 로그 레코드로 기록됩니다. 흐름 로그 레코드는 VPC에 네트워크 흐름을 나타냅니다. 기본적으로 각 레코드는 집계 간격 내에서 발생하는 네트워크 IP 트래픽 흐름을 캡처합니다. 각 레코드는 필드가 공백으로 구분되어 있는 문자열입니다. 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. 흐름 로그를 생성할 때 흐름 로그 레코드의 기본 형식을 사용하거나 사용자 지정 형식을 지정할 수 있습니다. 자세한 내용은 흐름 로그 레코드의 예(Amazon VPC 설명서)를 참조하세요.

흐름 로그는 다음 정보를 캡처하지 않습니다.

• 인스턴스가 Amazon 도메인 이름 시스템(DNS) 서버에 연결할 때 생성한 트래픽. 자체 DNS 서버를 사용할 경우 DNS 서버에 대한 모든 트래픽은 기록됩니다.

• Amazon Windows 라이선스 인증을 위해 Windows 인스턴스에서 생성한 트래픽.

• 인스턴스 메타데이터를 위해 254.169.254와 주고받는 트래픽.

• Amazon Time Sync Service를 위해 254.169.123과 주고받는 트래픽.

• Dynamic Host Configuration Protocol(DHCP) 트래픽.

• 기본 VPC 라우터의 예약된 IP 주소로 보내는 트래픽.

• 엔드포인트 네트워크 인터페이스와 Network Load Balancer 네트워크 인터페이스 간의 트래픽.

흐름 로그 데이터는 Amazon CloudWatch Logs를 포함한 여러 AWS 서비스에 게시될 수 있습니다. 흐름 로그를 생성한 후에는 구성한 로그 그룹의 CloudWatch Logs에서 흐름 로그 레코드를 검색하고 볼 수 있습니다. 자세한 내용은 CloudWatch Logs에 흐름 로그 게시(Amazon VPC 설명서)를 참조하세요.

흐름 로그 데이터는 네트워크 트래픽 경로 외부에서 수집되므로 네트워크 처리량이나 지연 시간에 영향을 주지 않습니다. 네트워크 성능에 영향을 주지 않고 흐름 로그를 생성하거나 삭제할 수 있습니다.

VPC Flow Logs 사용 사례

• 지나치게 제한적인 보안 그룹 규칙 진단

• 애플리케이션 인스턴스에 도달하는 트래픽 모니터링

• 트래픽 방향 결정