Amazon Virtual Private Cloud
사용 설명서

흐름 로그 작업

Amazon EC2, Amazon VPC, CloudWatch 및 Amazon S3 콘솔을 사용하여 플로우 로그에 대한 작업을 수행할 수 있습니다.

흐름 로그 사용 제어

기본적으로 IAM 사용자에게는 흐름 로그 사용 권한이 없습니다. IAM 사용자 정책을 만들어 사용자에게 흐름 로그를 생성, 설명, 삭제할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 Amazon EC2 API ReferenceIAM 사용자에게 Amazon EC2 리소스에 대한 필요 권한 부여 단원을 참조하십시오.

다음은 사용자에게 플로우 로그를 생성, 설명 및 삭제할 수 있는 전체 권한을 부여하는 정책의 예입니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

CloudWatch Logs 또는 Amazon S3 중 어느 쪽에 게시하는지에 따라 일부 추가적인 IAM 역할 및 권한 구성이 필요할 수 있습니다. 자세한 내용은 CloudWatch Logs에 플로우 로그 게시Amazon S3에 플로우 로그 게시 단원을 참조하십시오.

흐름 로그 생성

Amazon VPC 콘솔의 VPC서브넷 페이지 또는 Amazon EC2 콘솔의 네트워크 인터페이스 페이지에서 플로우 로그를 생성할 수 있습니다.

네트워크 인터페이스에 대한 흐름 로그를 만들려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 Network Interfaces를 선택합니다.

  3. 네트워크 인터페이스를 선택하고 플로우 로그, 플로우 로그 생성을 선택합니다.

  4. 필터에서 로깅할 IP 트래픽 데이터의 유형을 지정합니다. 모두를 선택하여 수락된 트래픽 및 거부된 트래픽을 로깅하거나, 거부됨을 선택하여 거부된 트래픽만을 기록하거나, 수락 완료를 선택해 수락된 트래픽만을 기록합니다.

  5. 플로우 로그 데이터를 게시할 대상을 지정합니다. 플로우 로그 데이터를 CloudWatch Logs 및 Amazon S3로 게시할 수 있습니다.

    1. 플로우 로그 데이터를 CloudWatch Logs에 게시하려면 다음을 수행합니다.

      1. Send to CloudWatch Logs(CloudWatch 로그 전송)를 선택합니다.

      2. 대상 로그 그룹에 플로우 로그를 게시할 CloudWatch Logs의 로그 그룹 이름을 입력합니다. 기존 로그를 사용하거나 새 로그 그룹의 이름을 입력할 수 있습니다. 존재하지 않는 로그 그룹의 이름을 지정할 경우 해당 로그 그룹이 만들어집니다.

      3. IAM role(IAM 역할)에서 CloudWatch Logs에 로그를 게시할 권한이 있는 역할의 이름을 지정합니다.

    2. 플로우 로그 데이터를 Amazon S3에 게시하려면 다음을 수행합니다.

      1. 플로우 로그를 게시할 Amazon S3 버킷이 있는 상태인지 확인합니다. 없으면 새로운 Amazon S3 버킷을 만듭니다. 자세한 내용은 버킷 만들기를 참조하십시오.

      2. Send to an Amazon S3 bucket(Amazon S3 버킷으로 전송)을 선택합니다.

      3. S3 bucket ARN(S3 버킷 ARN)에서, 플로우 로그 데이터를 게시할 기존 Amazon S3 버킷의 ARN(Amazon 리소스 이름)을 지정합니다.

        버킷에 하위 폴더를 지정할 수도 있습니다. 버킷에 하위 폴더를 지정하려면 다음 ARN 형식을 사용하십시오. bucket_ARN/subfolder_name/ 예를 들어 my-bucket이란 이름의 버킷에 my-logs이란 이름의 하위 폴더를 지정하려면 다음 ARN을 사용하십시오. arn:aws:s3:::my-bucket/my-logs/.

      참고

      자동으로 리소스 정책을 생성하여 지정된 Amazon S3 버킷에 연결합니다. 자세한 내용은 Amazon S3 버킷의 플로우 로그에 대한 권한 단원을 참조하십시오.

  6. 플로우 로그 생성을 선택합니다.

VPC 또는 서브넷에 대한 흐름 로그를 만들려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPCs 또는 서브넷을 선택합니다.

  3. VPC 또는 서브넷을 선택하고 플로우 로그, 플로우 로그 생성을 선택합니다.

    참고

    여러 VPC에 대한 플로우 로그를 만들려면 VPC를 선택한 후 작업, 플로우 로그 생성을 선택합니다. 여러 서브넷에 대한 플로우 로그를 만들려면 서브넷을 선택한 후 서브넷 작업, 플로우 로그 생성을 선택합니다.

  4. 필터에서 로깅할 IP 트래픽 데이터의 유형을 지정합니다. 모두를 선택하여 수락된 트래픽 및 거부된 트래픽을 로깅하거나, 거부됨을 선택하여 거부된 트래픽만을 기록하거나, 수락 완료를 선택해 수락된 트래픽만을 기록합니다.

  5. 플로우 로그 데이터를 게시할 대상을 지정합니다. 플로우 로그 데이터를 CloudWatch Logs 및 Amazon S3로 게시할 수 있습니다.

    1. 플로우 로그 데이터를 CloudWatch Logs에 게시하려면 다음을 수행합니다.

      1. Send to CloudWatch Logs(CloudWatch 로그 전송)를 선택합니다.

      2. 대상 로그 그룹에 플로우 로그를 게시할 CloudWatch Logs의 로그 그룹 이름을 입력합니다. 기존 로그를 사용하거나 새 로그 그룹의 이름을 입력할 수 있습니다. 존재하지 않는 로그 그룹의 이름을 지정할 경우 해당 로그 그룹이 만들어집니다.

      3. IAM role(IAM 역할)에서 CloudWatch Logs에 로그를 게시할 권한이 있는 IAM 역할의 이름을 지정합니다.

      참고

      선택된 IAM 역할의 Amazon 리소스 이름(ARN)은 IAM Role ARN(IAM 역할 ARN) 레이블 옆에 표시됩니다.

    2. 플로우 로그 데이터를 Amazon S3에 게시하려면 다음을 수행합니다.

      1. 플로우 로그를 게시할 Amazon S3 버킷이 있는 상태인지 확인합니다. 없으면 새로운 Amazon S3 버킷을 만듭니다. 자세한 내용은 버킷 만들기를 참조하십시오.

      2. Send to an Amazon S3 bucket(Amazon S3 버킷으로 전송)을 선택합니다.

      3. S3 bucket ARN(S3 버킷 ARN)에 플로우 로그 데이터를 게시할 기존 Amazon S3 버킷의 ARN을 지정합니다.

        버킷에 하위 폴더를 지정할 수도 있습니다. 버킷에 하위 폴더를 지정하려면 다음 ARN 형식을 사용하십시오. bucket_ARN/subfolder_name/ 예를 들어 my-bucket이란 이름의 버킷에 my-logs이란 이름의 하위 폴더를 지정하려면 다음 ARN을 사용하십시오. arn:aws:s3:::my-bucket/my-logs/.

      참고

      자동으로 리소스 정책을 생성하여 지정된 Amazon S3 버킷에 연결합니다. 자세한 내용은 Amazon S3 버킷의 플로우 로그에 대한 권한 단원을 참조하십시오.

  6. 플로우 로그 생성을 선택합니다.

흐름 로그 확인

Amazon EC2 및 Amazon VPC 콘솔에서 특정 리소스에 대한 [Flow Logs] 탭을 확인하여 흐름 로그에 대한 정보를 확인할 수 있습니다. 리소스를 선택하면 해당 리소스의 모든 흐름 로그가 나열됩니다. 흐름 로그의 ID, 흐름 로그 구성, 흐름 로그 상태에 대한 정보 등이 표시됩니다.

네트워크 인터페이스에 대한 흐름 로그 정보를 보려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 Network Interfaces를 선택합니다.

  3. 네트워크 인터페이스를 선택한 후 플로우 로그를 선택합니다. 흐름 로그에 대한 정보가 탭에 표시됩니다. Destination type(대상 유형) 열은 플로우 로그를 게시할 대상을 표시합니다.

VPC 또는 서브넷에 대한 흐름 로그 정보를 보려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPCs 또는 서브넷을 선택합니다.

  3. VPC 또는 서브넷을 선택한 후 플로우 로그를 선택합니다. 흐름 로그에 대한 정보가 탭에 표시됩니다. Destination type(대상 유형) 열은 플로우 로그를 게시할 대상을 표시합니다.

플로우 로그 레코드 보기

선택된 대상 유형에 따라 CloudWatch Logs 콘솔 또는 Amazon S3 콘솔을 사용하여 플로우 로그 레코드를 볼 수 있습니다. 흐름 로그를 생성한 후 콘솔에서 흐름 로그를 보려면 몇 분 정도 지나야 할 수 있습니다.

CloudWatch Logs에 게시된 플로우 로그 레코드를 보려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 로그를 선택하고 플로우 로그가 포함된 로그 그룹을 선택합니다. 각 네트워크 인터페이스에 대한 로그 스트림 목록이 표시됩니다.

  3. 흐름 로그 레코드를 보려는 네트워크 인터페이스의 ID가 있는 로그 스트림을 선택합니다. 자세한 내용은 흐름 로그 레코드 단원을 참조하십시오.

Amazon S3에 게시된 플로우 로그 레코드를 보려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 버킷 이름에서 플로우 로그를 게시할 버킷을 선택합니다.

  3. 이름에서 로그 파일 옆의 확인란을 선택합니다. 객체 개요 패널에서 다운로드를 선택합니다.

흐름 로그 삭제

Amazon EC2 및 Amazon VPC 콘솔을 사용하여 흐름 로그를 삭제할 수 있습니다.

참고

흐름 로그를 삭제하면 리소스에 대한 흐름 로그 서비스가 비활성화됩니다. 플로우 로그를 삭제해도, CloudWatch Logs에서 로그 스트림이 삭제되지 않으며 Amazon S3에서 로그 파일이 삭제되지 않습니다. 각 서비스의 콘솔을 사용해 기존 플로우 로그 데이터를 삭제해야 합니다. 또한 Amazon S3에 게시되는 플로우 로그를 삭제해도, 버킷 정책과 로그 파일 액세스 제어 목록(ACL)은 삭제되지 않습니다.

네트워크 인터페이스에 대한 흐름 로그를 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Network Interfaces]를 선택한 후 네트워크 인터페이스를 선택합니다.

  3. 플로우 로그를 선택한 후 삭제할 플로우 로그의 삭제 버튼(x 표시)을 선택합니다.

  4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다.

VPC 또는 서브넷에 대한 흐름 로그를 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPCs 또는 서브넷을 선택한 후 리소스를 선택합니다.

  3. 플로우 로그를 선택한 후 삭제할 플로우 로그의 삭제 버튼(x 표시)을 선택합니다.

  4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다.

API 및 CLI 개요

이 페이지에서 설명한 작업은 명령줄이나 API를 사용하여 수행할 수 있습니다. 명령줄 인터페이스 및 사용 가능한 API 작업 목록에 대한 자세한 내용은 Amazon VPC에 액세스 단원을 참조하십시오.

흐름 로그 생성

흐름 로그 설명

흐름 로그 레코드 확인(로그 이벤트)

흐름 로그 삭제