Amazon Data Firehose에 게시하는 흐름 로그 생성

VPC, 서브넷 또는 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다.

사전 조건

대상 Amazon Data Firehose 전송 스트림을 생성합니다. Direct Put을 원본으로 사용합니다. 자세한 내용은 Amazon Data Firehose 전송 스트림 생성을 참조하세요.
흐름 로그를 다른 계정에 게시하는 경우 교차 계정 전송에 대한 IAM 역할에 설명된 대로 필수 IAM 역할을 생성합니다.

Amazon Data Firehose에 게시하는 흐름 로그 생성 방법

다음 중 하나를 수행합니다.
- https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다. 탐색 창에서 Network Interfaces를 선택합니다. 네트워크 인터페이스의 확인란을 선택합니다.
- https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 Your VPCs를 선택합니다. VPC에 대한 확인란을 선택합니다.
- https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 Subnets를 선택합니다. 서브넷의 확인란을 선택합니다.
작업(Actions), 흐름 로그 생성(Create flow log)을 선택합니다.
필터(Filter)에 기록할 트래픽 유형을 지정합니다.
- 수락 – 수락한 트래픽만 로그합니다.
- 거부 – 거부한 트래픽만 로그합니다.
- 모두 – 수락 및 거부한 트래픽을 로그합니다.
최대 집계 간격(Maximum aggregation interval)에서 흐름이 캡처되어 흐름 로그 레코드로 집계되는 최대 기간을 선택합니다.
대상(Destination)에서는 다음과 같은 옵션 중 하나를 선택합니다.
- 동일한 계정의 Amazon Data Firehose로 보내기 - 전송 스트림과 모니터링할 리소스가 동일한 계정에 있습니다.
- 다른 계정의 Amazon Data Firehose로 보내기 - 전송 스트림과 모니터링할 리소스가 상이한 계정에 있습니다.
Amazon Data Firehose 스트림 이름에는 생성한 전송 스트림을 선택합니다.
[교차 계정 전송만 해당] IAM roles(IAM 역할)에서는 필수 역할을 지정합니다(교차 계정 전송에 대한 IAM 역할 참조).
로그 레코드 형식에서 흐름 로그 레코드의 형식을 지정합니다.
- 기본 흐름 로그 레코드 형식을 사용하려면 AWS 기본 형식을 선택하세요.
- 사용자 지정 형식을 만들려면 사용자 지정 형식을 선택하십시오. 로그 형식(Log format)에 대해 흐름 로그 레코드에 포함할 필드를 선택하세요.
추가 메타데이터에서 Amazon ECS의 메타데이터를 로그 형식으로 포함할지 선택합니다.
(선택 사항) 태그 추가를 선택하여 흐름 로그에 태그를 적용합니다.
흐름 로그 생성(Create flow log)을 선택합니다.

명령줄 도구를 사용하여 Amazon Data Firehose에 게시하는 흐름 로그를 생성하는 방법

다음 명령 중 하나를 사용합니다.

create-flow-logs(AWS CLI)
New-EC2FlowLogs(AWS Tools for Windows PowerShell)

다음 AWS CLI 예시에서는 지정된 VPC의 모든 트래픽을 캡처하고 동일한 계정의 지정된 Amazon Data Firehose 전송 스트림에 흐름 로그를 전송하는 흐름 로그를 생성합니다.


aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream

다음 AWS CLI 예시에서는 지정된 VPC의 모든 트래픽을 캡처하고 상이한 계정의 지정된 Amazon Data Firehose 전송 스트림에 흐름 로그를 전송하는 흐름 로그를 생성합니다.


aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole

전송 스트림에 대해 구성한 대상에서 흐름 로그 데이터를 가져올 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

교차 계정 전송에 대한 IAM 역할

Athena를 사용하여 쿼리