흐름 로그 제한 - Amazon Virtual Private Cloud

흐름 로그 제한

흐름 로그를 사용하려면 다음과 같은 제한 사항을 알아 두어야 합니다.

  • 흐름 로그를 생성한 후에는 선택한 네트워크 인터페이스, 서브넷 또는 VPC에 대한 활성 트래픽이 있을 때까지 흐름 로그 데이터가 표시되지 않습니다.

  • 피어 VPC가 본인의 계정이 아닌 한, 본인의 VPC와 피어링된 VPC에 대해 흐름 로그를 활성화할 수 없습니다.

  • 흐름 로그를 생성한 후에는 구성 또는 흐름 로그 레코드 형식을 변경할 수 없습니다. 예를 들어 다른 IAM 역할을 흐름 로그와 연결하거나 흐름 로그 레코드에서 필드를 추가 또는 제거할 수 없습니다. 대신에 흐름 로그를 삭제한 후 필요한 구성으로 새로운 흐름 로그를 생성할 수 있습니다.

  • 네트워크 인터페이스에 IPv4 주소가 여러 개 있고 트래픽이 보조 프라이빗 IPv4 주소로 전송되는 경우, 흐름 로그는 dstaddr 필드에 주 프라이빗 IPv4 주소를 표시합니다. 원래 대상 IP 주소를 캡처하려면 pkt-dstaddr 필드로 흐름 로그를 작성하십시오.

  • 트래픽이 네트워크 인터페이스로 전송된 경우 대상이 네트워크 인터페이스의 IP 주소가 아니면 흐름 로그에 dstaddr 필드의 기본 프라이빗 IPv4 주소가 표시됩니다. 원래 대상 IP 주소를 캡처하려면 pkt-dstaddr 필드로 흐름 로그를 작성하십시오.

  • 트래픽이 네트워크 인터페이스에서 전송되었고 원본이 네트워크 인터페이스의 IP 주소가 아니며 로그 레코드가 발신 흐름 관련인 경우, 흐름 로그에 srcaddr 필드의 기본 프라이빗 IPv4 주소가 표시됩니다. 원래 원본 IP 주소를 캡처하려면 pkt-srcaddr 필드로 흐름 로그를 작성하십시오. 로그 레코드가 네트워크 인터페이스로의 수신 흐름 관련인 경우 srcaddr 필드에 네트워크 인터페이스의 기본 프라이빗 IP가 표시되지 않습니다.

  • 네트워크 인터페이스가 NITRO 기반 인스턴스에 연결된 경우 집계 간격은 지정된 최대 집계 간격에 관계없이 항상 1분 이하입니다.

  • pkt-srcaddrpkt-dstaddr 필드의 경우 중간 계층에 클라이언트 IP 주소 보존이 활성화된 경우 이 필드에는 중간 계층의 IP 주소 대신 보존된 클라이언트 IP가 표시될 수 있습니다.

  • 집계 간격 중 일부 흐름 로그 레코드를 건너뛸 수 있습니다(사용 가능한 필드log-status 참조). 내부 AWS 용량 제한 또는 내부 오류가 원인일 수 있습니다. AWS Cost Explorer를 사용하여 VPC 흐름 로그 요금을 확인하고 흐름 로그 집계 간격 중에 일부 흐름 로그를 건너뛴 경우 AWS Cost Explorer에 보고된 흐름 로그 수가 Amazon VPC에서 게시한 흐름 로그 수보다 많습니다.

  • VPC 퍼블릭 액세스 차단(BPA)을 사용하는 경우:

    • VPC BPA의 흐름 로그에는 건너뛴 레코드가 포함되지 않습니다.

    • 흐름 로그에 bytes 필드를 포함하더라도 VPC BPA의 흐름 로그에는 bytes가 포함되지 않습니다.

흐름 로그는 모든 IP 트래픽을 캡처하지는 않습니다. 다음 트래픽 유형은 기록되지 않습니다.

  • 인스턴스가 Amazon DNS 서버에 연결할 때 생성한 트래픽. 고유 DNS 서버를 사용할 경우 DNS 서버에 대한 모든 트래픽은 기록됩니다.

  • Amazon Windows 라이선스 인증을 위해 Windows 인스턴스에서 생성한 트래픽.

  • 인스턴스 메타데이터를 위해 169.254.169.254와 주고받는 트래픽.

  • Amazon Time Sync Service를 위해 169.254.169.123와 주고받는 트래픽.

  • DHCP 트래픽.

  • 트래픽 미러링 소스 트래픽. 트래픽 미러링 대상 트래픽만 볼 수 있습니다.

  • 기본 VPC 라우터의 예약된 IP 주소로 보내는 트래픽.

  • 엔드포인트 네트워크 인터페이스와 Network Load Balancer 네트워크 인터페이스 간의 트래픽.

  • 주소 확인 프로토콜(ARP) 트래픽.

버전 7에서 사용할 수 있는 ECS 필드에만 적용되는 제한 사항:

  • ECS 필드로 흐름 로그 구독을 생성하려면 계정에 하나 이상의 ECS 클러스터가 포함되어 있어야 합니다.

  • 흐름 로그 구독의 소유자가 기본 ECS 태스크를 소유하지 않은 경우 ECS 필드는 계산되지 않습니다. 예를 들어, 서브넷(SubnetA)을 다른 계정(AccountB)과 공유한 다음 SubnetA에 대한 흐름 로그 구독을 생성하는 경우 AccountB가 공유 서브넷에서 ECS 태스크를 시작하면 구독은 AccountB에서 시작한 ECS 태스크에서 트래픽 로그를 수신하지만 보안 문제로 인해 이러한 로그의 ECS 필드는 계산되지 않습니다.

  • VPC/서브넷 리소스 수준에서 ECS 필드를 사용하여 흐름 로그 구독을 생성하는 경우 비ECS 네트워크 인터페이스에 대해 생성된 모든 트래픽도 구독에 전달됩니다. 비ECS IP 트래픽의 경우 ECS 필드 값은 '-'가 됩니다. 예를 들어 서브넷(subnet-000000)이 있고 ECS 필드(fl-00000000)로 이 서브넷에 대한 흐름 로그 구독을 생성합니다. subnet-000000에서 인터넷에 연결되어 있고 IP 트래픽을 활발하게 생성하는 EC2 인스턴스(i-0000000)를 시작합니다. 또한 동일한 서브넷에서 실행 중인 ECS 태스크(ECS-Task-1)를 시작합니다. i-0000000ECS-Task-1 모두 IP 트래픽을 생성하므로 흐름 로그 구독 fl-00000000은 두 엔터티 모두에 대한 트래픽 로그를 제공합니다. 그러나 ECS-Task-1만이 logFormat에 포함된 ECS 필드에 대한 실제 ECS 메타데이터를 갖습니다. i-0000000 관련 트래픽의 경우 이러한 필드의 값은 '-'가 됩니다.

  • ecs-container-idecs-second-container-id는 VPC 흐름 로그 서비스가 ECS 이벤트 스트림에서 수신할 때 순서가 지정됩니다. ECS 콘솔 또는 DescribeTask API 직접 호출에서 볼 수 있는 순서와 동일하다는 보장은 없습니다. 태스크가 계속 실행되는 동안 컨테이너가 STOPPED 상태가 되면 로그에 계속 표시될 수 있습니다.

  • ECS 메타데이터와 IP 트래픽 로그는 서로 다른 두 소스에서 가져온 것입니다. 업스트림 종속성에서 필요한 모든 정보를 얻는 즉시 ECS 트래픽 계산이 시작됩니다. 새 태스크를 시작하면 1) 기본 네트워크 인터페이스에 대한 IP 트래픽이 수신되는 경우와 2) ECS 태스크가 현재 실행 중임을 나타내는 태스크에 대한 메타데이터가 포함된 ECS 이벤트가 수신되는 경우 ECS 필드 계산이 시작됩니다. 태스크를 중지하면 1) 기본 네트워크 인터페이스에 대한 IP 트래픽이 더 이상 수신되지 않거나 하루 이상 지연되는 IP 트래픽이 수신되는 경우와 2) ECS 태스크가 더 이상 실행되지 않음을 나타내는 태스크에 대한 메타데이터가 포함된 ECS 이벤트가 수신되는 경우 ECS 필드 계산이 중지됩니다.

  • awsvpc 네트워크 모드에서 시작된 ECS 태스크만 지원됩니다.