Transit Gateway 흐름 로그 작업

Amazon EC2, CloudWatch 아마존 VPC 및 Amazon S3 콘솔을 사용하여 Transit Gateway 플로우 로그를 처리할 수 있습니다.

흐름 로그 사용 제어

기본적으로 사용자에게는 흐름 로그 사용 권한이 없습니다. 사용자 정책을 만들어 사용자에게 흐름 로그를 생성, 설명, 삭제할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 Amazon EC2 API 참조의 IAM 사용자에게 Amazon EC2 리소스에 대한 필요 권한 부여를 참조하세요.

다음은 사용자에게 흐름 로그를 생성, 설명 및 삭제할 수 있는 전체 권한을 부여하는 정책의 예입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteFlowLogs",
        "ec2:CreateFlowLogs",
        "ec2:DescribeFlowLogs"
      ],
      "Resource": "*"
    }
  ]
}

CloudWatch Logs 또는 Amazon S3에 게시하는지 여부에 따라 몇 가지 추가 IAM 역할 및 권한 구성이 필요합니다. 자세한 내용은 Logs에 게시하는 흐름 로그를 생성하십시오. CloudWatch 및 Amazon S3에 게시하는 흐름 로그 생성 섹션을 참조하세요.

흐름 로그 생성

로그, Amazon S3 또는 Firehose에 데이터를 게시할 수 있는 전송 게이트웨이의 흐름 CloudWatch 로그를 생성할 수 있습니다.

자세한 내용은 다음 자료를 참조하십시오.

• Logs에 게시하는 흐름 로그를 생성하십시오. CloudWatch

• Amazon S3에 게시하는 흐름 로그 생성

• Firehose에 게시하는 흐름 로그 만들기

흐름 로그 보기

특정 리소스에 대한 흐름 로그(Flow Logs) 탭을 보면 Amazon VPC 콘솔에서 흐름 로그에 대한 정보를 볼 수 있습니다. 리소스를 선택하면 해당 리소스의 모든 흐름 로그가 나열됩니다. 흐름 로그의 ID, 흐름 로그 구성, 흐름 로그 상태에 대한 정보 등이 표시됩니다.

전송 게이트웨이의 흐름 로그 정보 보기

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 전송 게이트웨이(Transit Gateway), 전송 게이트웨이 연결(Transit Gateway Attachment)을 선택합니다.

3. 전송 게이트웨이 또는 Transit Gateway Attachment를 선택하고 흐름 로그를 선택합니다. 흐름 로그에 대한 정보가 탭에 표시됩니다. 대상 유형(Destination type) 열은 흐름 로그를 게시할 대상을 표시합니다.

흐름 로그에 대한 태그 추가 또는 제거

Amazon EC2 및 Amazon VPC 콘솔에서 흐름 로그의 태그를 추가하거나 제거할 수 있습니다.

전송 게이트웨이 흐름 로그에 대한 태그를 추가 혹은 제거

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 전송 게이트웨이(Transit Gateway), 전송 게이트웨이 연결(Transit Gateway Attachment)을 선택합니다.

3. 전송 게이트웨이 또는 Transit Gateway Attachment를 선택

4. 필요한 흐름 로그에 대해 태그 관리(Manage Tags)를 선택합니다.

5. 새 태그를 추가하려면 태그 생성(Create Tag)을 선택합니다. 태그를 제거하려면 삭제 버튼(x)을 선택합니다.

6. 저장(Save)을 선택합니다.

흐름 로그 레코드 보기

선택한 대상 유형에 따라 CloudWatch 로그 콘솔 또는 Amazon S3 콘솔을 사용하여 흐름 로그 기록을 볼 수 있습니다. 흐름 로그를 생성한 후 콘솔에서 흐름 로그를 보려면 몇 분 정도 지나야 할 수 있습니다.

CloudWatch Logs에 게시된 흐름 로그 레코드를 보려면

1. https://console.aws.amazon.com/cloudwatch/ 에서 CloudWatch 콘솔을 엽니다.

2. 탐색 창에서 로그(Logs)를 선택하고 흐름 로그가 포함된 로그 그룹을 선택합니다. 각 전송 게이트웨이의 로그 스트림 목록이 표시됩니다.

3. 흐름 로그 레코드를 보려는 전송 게이트웨이의 ID를 포함하는 로그 스트림을 선택합니다. 자세한 정보는 전송 게이트웨이 흐름 로그 레코드을 참조하세요.

Amazon S3에 게시된 플로우 로그 레코드를 보려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

2. 버킷 이름(Bucket name)에서 흐름 로그를 게시할 버킷을 선택합니다.

3. 이름(Name)에서 로그 파일 옆의 확인란을 선택합니다. 객체 개요 패널에서 다운로드(Download)를 선택합니다.

흐름 로그 레코드 검색

Logs 콘솔을 사용하여 CloudWatch Logs에 게시된 흐름 로그 레코드를 검색할 수 있습니다. CloudWatch 지표 필터를 사용하여 흐름 로그 레코드를 필터링할 수 있습니다. 흐름 로그 레코드는 공백으로 구분됩니다.

로그 콘솔을 CloudWatch 사용하여 흐름 로그 기록을 검색하려면

1. https://console.aws.amazon.com/cloudwatch/ 에서 CloudWatch 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 로그(Logs)를 선택한 다음, 로그 그룹(Log groups)을 선택합니다.

3. 흐름 로그가 포함된 로그 그룹을 선택합니다. 각 전송 게이트웨이의 로그 스트림 목록이 표시됩니다.

4. 검색 중인 전송 게이트웨이를 알고 있는 경우 개별 로그 스트림을 선택합니다. 또는 로그 그룹 검색을 선택하여 전체 로그 그룹을 검색합니다. 로그 그룹에 전송 게이트웨이가 많거나 선택한 시간 범위에 따라 시간이 다소 걸릴 수 있습니다.

5. 이벤트 필터에 다음 문자열을 입력합니다. 여기서는 흐름 로그 레코드가 기본 형식을 사용한다고 가정합니다.

   [version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

6. 필드의 값을 지정하여 필요에 따라 필터를 수정합니다. 다음 예제에서는 특정 원본 IP 주소를 기준으로 필터링합니다.

   [version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   [version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

   다음 예제는 전송 게이트웨이 ID tgw-123abc456bca, 대상 포트, 바이트 수를 기준으로 필터링됩니다.

   [version, resource_type, account_id,tgw_id=tgw-123abc456bca, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 500,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

흐름 로그 삭제

Amazon VPC 콘솔을 사용하여 전송 게이트웨이를 삭제할 수 있습니다.

이러한 절차는 리소스의 흐름 로그 서비스를 비활성화합니다. 흐름 로그를 삭제해도 Amazon S3의 로그 또는 로그 파일의 기존 로그 스트림은 삭제되지 않습니다. CloudWatch 각 서비스의 콘솔을 사용해 기존 흐름 로그 데이터를 삭제해야 합니다. 또한 Amazon S3에 게시되는 플로우 로그를 삭제해도 버킷 정책과 로그 파일 액세스 제어 목록(ACL)은 삭제되지 않습니다.

전송 게이트웨이 흐름 로그 삭제

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

2. 탐색 창에서 Transit Gateway를 선택합니다.

3. 하나의 Transit gateway ID를 선택합니다.

4. 흐름 로그 섹션에서 삭제하려는 흐름 로그를 선택합니다.

5. 작업(Actions)을 선택한 다음 흐름 로그 삭제(Delete flow logs)를 선택합니다.

6. 삭제(Delete)를 선택하여 흐름을 삭제할 것인지 확인합니다.

API 및 CLI 개요 및 제한

이 페이지에서 설명한 작업은 명령줄이나 API를 사용하여 수행할 수 있습니다.

CreateFlowLogs API 또는create-flow-logs CLI를 사용할 때는 다음 제한 사항이 적용됩니다.

• --resource-ids의 최대 제약 조건은 25개의 TransitGateway 또는 TransitGatewayAttachment 리소스 유형입니다.

• --traffic-type는 기본적으로 필수 필드가 아닙니다. 전송 게이트웨이 리소스 유형에 이 값을 제공하면 오류가 반환됩니다. 이 제한은 전송 게이트웨이 리소스 유형에만 적용됩니다.

• --max-aggregation-interval의 기본값인 60은 전송 게이트웨이 리소스 유형에 유일하게 허용되는 값입니다. 다른 값을 전달하려고 하면 오류가 반환됩니다. 이 제한은 전송 게이트웨이 리소스 유형에만 적용됩니다.

• --resource-type은 두 가지 새로운 리소스 유형 TransitGateway 및 TransitGatewayAttachment를 지원합니다.

• --log-format은 포함할 필드를 설정하지 않은 경우 전송 게이트웨이 리소스 유형에 대한 모든 로그 필드를 포함합니다. 이는 전송 게이트웨이 리소스 유형에만 적용됩니다.

흐름 로그 생성

• create-flow-logs (AWS CLI)

• New-EC2FlowLog (AWS Tools for Windows PowerShell)

• CreateFlowLogs(아마존 EC2 쿼리 API)

흐름 로그 설명

• describe-flow-logs (AWS CLI)

• Get-EC2FlowLog (AWS Tools for Windows PowerShell)

• DescribeFlowLogs(아마존 EC2 쿼리 API)

흐름 로그 레코드 확인(로그 이벤트)

• get-log-events (AWS CLI)

• Get-CWL () LogEventAWS Tools for Windows PowerShell

• GetLogEvents(API) CloudWatch

흐름 로그 삭제

• delete-flow-logs (AWS CLI)

• Remove-EC2FlowLog (AWS Tools for Windows PowerShell)

• DeleteFlowLogs(아마존 EC2 쿼리 API)