흐름 로그 작업 - Amazon Virtual Private Cloud

흐름 로그 작업

Amazon EC2, Amazon VPC, CloudWatch 및 Amazon S3 콘솔을 사용하여 흐름 로그를 작업할 수 있습니다.

흐름 로그 사용 제어

기본적으로 IAM 사용자에게는 흐름 로그 사용 권한이 없습니다. IAM 사용자 정책을 만들어 사용자에게 플로우 로그를 생성, 설명, 삭제하는 권한을 부여할 수 있습니다. 자세한 내용은 Amazon EC2 API 참조IAM 사용자에게 Amazon EC2 리소스에 대한 필요 권한 부여를 참조하십시오.

다음은 사용자에게 흐름 로그를 생성, 설명 및 삭제할 수 있는 전체 권한을 부여하는 정책의 예입니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

CloudWatch Logs 또는 Amazon S3 중 어느 쪽에 게시하는지에 따라 일부 추가 IAM 역할 및 권한 구성이 필요할 수 있습니다. 자세한 내용은 CloudWatch Logs에 흐름 로그 게시Amazon S3에 흐름 로그 게시 단원을 참조하십시오.

흐름 로그 생성

VPC, 서브넷 또는 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다. 플로우 로그는 CloudWatch Logs 또는 Amazon S3에 데이터를 게시할 수 있습니다.

자세한 내용은 CloudWatch Logs에 게시하는 흐름 로그 생성Amazon S3에 게시하는 흐름 로그 생성 단원을 참조하십시오.

흐름 로그 보기

Amazon EC2 및 Amazon VPC 콘솔에서 특정 리소스에 대한 흐름 로그 탭을 확인하면 흐름 로그 관련 정보를 볼 수 있습니다. 리소스를 선택하면 해당 리소스의 모든 흐름 로그가 나열됩니다. 흐름 로그의 ID, 흐름 로그 구성, 흐름 로그 상태에 대한 정보 등이 표시됩니다.

네트워크 인터페이스에 대한 흐름 로그 정보를 보려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 네트워크 인터페이스(Network Interfaces)를 선택합니다.

  3. 네트워크 인터페이스를 선택한 후 흐름 로그(Flow Logs)를 선택합니다. 흐름 로그에 대한 정보가 탭에 표시됩니다. 대상 유형(Destination type) 열은 흐름 로그를 게시할 대상을 표시합니다.

VPC 또는 서브넷에 대한 흐름 로그 정보를 보려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPC 또는 서브넷(Subnets)을 선택합니다.

  3. VPC 또는 서브넷을 선택한 후 흐름 로그(Flow Logs)를 선택합니다. 흐름 로그에 대한 정보가 탭에 표시됩니다. 대상 유형(Destination type) 열은 흐름 로그를 게시할 대상을 표시합니다.

흐름 로그에 대한 태그 추가 또는 제거

Amazon EC2 및 Amazon VPC 콘솔에서 흐름 로그의 태그를 추가하거나 제거할 수 있습니다.

네트워크 인터페이스의 흐름 로그에 대한 태그를 추가하거나 제거하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 네트워크 인터페이스(Network Interfaces)를 선택합니다.

  3. 네트워크 인터페이스를 선택한 후 흐름 로그(Flow Logs)를 선택합니다.

  4. 필요한 플로우 로그에 대해 태그 관리를 선택합니다.

  5. 새 태그를 추가하려면 태그 생성(Create Tag)을 선택합니다. 태그를 제거하려면 삭제 버튼(x)을 선택합니다.

  6. Save를 선택합니다.

VPC 또는 서브넷의 흐름 로그에 대한 태그를 추가하거나 제거하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPC 또는 서브넷(Subnets)을 선택합니다.

  3. VPC 또는 서브넷을 선택한 후 흐름 로그(Flow Logs)를 선택합니다.

  4. 플로우 로그를 선택하고 작업, 태그 추가/편집을 선택합니다.

  5. 새 태그를 추가하려면 태그 생성(Create Tag)을 선택합니다. 태그를 제거하려면 삭제 버튼(x)을 선택합니다.

  6. Save를 선택합니다.

흐름 로그 레코드 보기

선택된 대상 유형에 따라 CloudWatch Logs 콘솔 또는 Amazon S3 콘솔을 사용하여 흐름 로그 레코드를 볼 수 있습니다. 흐름 로그를 생성한 후 콘솔에서 흐름 로그를 보려면 몇 분 정도 지나야 할 수 있습니다.

CloudWatch Logs에 게시된 플로우 로그 레코드를 보려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 로그를 선택하고 흐름 로그가 포함된 로그 그룹을 선택합니다. 각 네트워크 인터페이스에 대한 로그 스트림 목록이 표시됩니다.

  3. 흐름 로그 레코드를 보려는 네트워크 인터페이스의 ID가 있는 로그 스트림을 선택합니다. 자세한 내용은 흐름 로그 레코드 단원을 참조하십시오.

Amazon S3에 게시된 플로우 로그 레코드를 보려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 버킷 이름(Bucket name)에서 흐름 로그를 게시할 버킷을 선택합니다.

  3. 이름(Name)에서 로그 파일 옆의 확인란을 선택합니다. 객체 개요 패널에서 다운로드(Download)를 선택합니다.

흐름 로그 레코드 검색

CloudWatch Logs 콘솔을 사용하여 CloudWatch Logs에 게시된 흐름 로그 레코드를 검색할 수 있습니다. 지표 필터를 사용하여 플로우 로그 레코드를 필터링할 수 있습니다. 흐름 로그 레코드는 공백으로 구분됩니다.

CloudWatch Logs 콘솔을 사용하여 플로우 로그 레코드를 검색하려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 로그 그룹을 선택하고 흐름 로그가 포함된 로그 그룹을 선택합니다. 각 네트워크 인터페이스에 대한 로그 스트림 목록이 표시됩니다.

  3. 검색 중인 네트워크 인터페이스를 알고 있는 경우 개별 로그 스트림을 선택합니다. 또는 로그 그룹 검색을 선택하여 전체 로그 그룹을 검색합니다. 로그 그룹에 네트워크 인터페이스가 많거나 선택한 시간 범위에 따라 시간이 걸릴 수 있습니다.

  4. 이벤트 필터에 다음 문자열을 입력합니다. 여기서는 흐름 로그 레코드가 기본 형식을 사용한다고 가정합니다.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
  5. 필드의 값을 지정하여 필요에 따라 필터를 수정합니다. 다음 예제에서는 특정 원본 IP 주소를 기준으로 필터링합니다.

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    다음 예제에서는 대상 포트, 바이트 수 및 트래픽이 거부되었는지 여부를 기준으로 필터링합니다.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

흐름 로그 삭제

Amazon EC2 및 Amazon VPC 콘솔을 사용하여 흐름 로그를 삭제할 수 있습니다.

흐름 로그를 삭제하면 리소스에 대한 흐름 로그 서비스가 비활성화됩니다. 플로우 로그를 삭제해도 CloudWatch Logs의 기존 로그 스트림과 Amazon S3의 로그 파일은 삭제되지 않습니다. 각 서비스의 콘솔을 사용해 기존 흐름 로그 데이터를 삭제해야 합니다. 또한 Amazon S3에 게시되는 플로우 로그를 삭제해도 버킷 정책과 로그 파일 액세스 제어 목록(ACL)은 삭제되지 않습니다.

네트워크 인터페이스에 대한 흐름 로그를 삭제하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 네트워크 인터페이스(Network Interfaces)를 선택한 후 네트워크 인터페이스를 선택합니다.

  3. 흐름 로그(Flow Logs)를 선택한 후 삭제할 흐름 로그의 삭제 버튼(x 표시)을 선택합니다.

  4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다.

VPC 또는 서브넷에 대한 흐름 로그를 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 VPC 또는 서브넷(Subnets)을 선택한 후 리소스를 선택합니다.

  3. 흐름 로그(Flow Logs)를 선택한 후 삭제할 흐름 로그의 삭제 버튼(x 표시)을 선택합니다.

  4. 확인 대화 상자에서 [Yes, Delete]를 선택합니다.

API 및 CLI 개요

이 페이지에서 설명한 작업은 명령줄이나 API를 사용하여 수행할 수 있습니다. 명령줄 인터페이스 및 사용 가능한 API 작업 목록에 대한 자세한 내용은 Amazon VPC 액세스 단원을 참조하십시오.

흐름 로그 생성

흐름 로그 설명

흐름 로그 레코드 확인(로그 이벤트)

흐름 로그 삭제