Amazon S3에 게시하는 흐름 로그 생성
Amazon S3 버킷을 생성하고 구성한 후에는 네트워크 인터페이스, 서브넷 및 VPC에 대한 흐름 로그를 생성할 수 있습니다.
사전 조건
흐름 로그를 생성하는 IAM 보안 주체는 대상 Amazon S3 버킷에 흐름 로그를 게시하는 데 필요한 다음 권한이 있는 IAM 역할을 사용해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery" ], "Resource": "*" } ] }
콘솔을 사용하여 흐름 로그를 생성하는 방법
-
다음 중 하나를 수행합니다.
-
https://console.aws.amazon.com/ec2/
에서 Amazon EC2 콘솔을 엽니다. 탐색 창에서 Network Interfaces를 선택합니다. 네트워크 인터페이스의 확인란을 선택합니다. -
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 Your VPCs를 선택합니다. VPC에 대한 확인란을 선택합니다. -
https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 Subnets를 선택합니다. 서브넷의 확인란을 선택합니다.
-
-
작업(Actions), 흐름 로그 생성(Create flow log)을 선택합니다.
-
필터(Filter)에서 로깅할 IP 트래픽 데이터의 유형을 지정합니다.
-
수락 - 수락한 트래픽만 로그합니다.
-
거부 - 거부한 트래픽만 로그합니다.
-
모두 – 허용 및 거부된 트래픽을 로그합니다.
-
-
최대 집계 간격(Maximum aggregation interval)에서 흐름이 캡처되어 흐름 로그 레코드로 집계되는 최대 기간을 선택합니다.
-
대상에서 Amazon S3 버킷으로 전송(Send to an Amazon S3 bucket)을 선택합니다.
-
S3 버킷 ARN(S3 bucket ARN)의 경우 기존 Amazon S3 버킷의 Amazon 리소스 이름(ARN)을 지정합니다. 필요한 경우 하위 폴더를 포함할 수 있습니다. 예를 들어
my-bucket이란 이름의 버킷에my-logs이란 이름의 하위 폴더를 지정하려면 다음 ARN을 사용하십시오.arn:aws:s3:::my-bucket/my-logs/버킷에
AWSLogs를 하위 폴더 이름으로 사용할 수 없습니다. 이것은 예약된 용어입니다.버킷을 소유한 경우, 자동으로 리소스 정책을 생성하여 버킷에 연결합니다. 자세한 내용은 Amazon S3 버킷의 흐름 로그에 대한 권한 단원을 참조하세요.
-
로그 레코드 형식에서 흐름 로그 레코드의 형식을 지정합니다.
-
기본 흐름 로그 레코드 형식을 사용하려면 AWS 기본 형식을 선택하세요.
-
사용자 지정 형식을 만들려면 사용자 지정 형식을 선택하십시오. 로그 형식(Log format)에 대해 흐름 로그 레코드에 포함할 필드를 선택하세요.
-
-
추가 메타데이터에서 Amazon ECS의 메타데이터를 로그 형식으로 포함할지 선택합니다.
-
로그 파일 형식의 경우 로그 파일의 형식을 지정합니다.
-
Text – 일반 텍스트. 이것은 기본 형식입니다.
-
Parquet – Apache Parquet은 열 기반 데이터 형식입니다. Parquet 형식의 데이터에 대한 쿼리는 일반 텍스트 데이터에 대한 쿼리에 비해 10배에서 100배 빠릅니다. Gzip 압축을 사용하는 Parquet 형식 데이터는 Gzip 압축을 사용하는 일반 텍스트보다 스토리지 공간을 20% 적게 사용합니다.
-
-
(선택 사항) Hive 호환 S3 접두사를 사용하려면 Hive 호환 S3 접두사,활성화를 선택합니다.
-
(선택 사항) 흐름 로그를 시간당 분할하려면1시간마다 (60분)을 선택합니다.
-
(선택 사항) 흐름 로그에 태그를 추가하려면새 태그 추가를 선택하여 태그 키와 값을 지정하십시오.
-
흐름 로그 생성(Create flow log)을 선택합니다.
명령줄 도구를 사용하여 Amazon S3에 게시하는 흐름 로그를 만들려면
다음 명령 중 하나를 사용합니다.
-
create-flow-logs(AWS CLI)
-
New-EC2FlowLogs(AWS Tools for Windows PowerShell)
다음 AWS CLI 예시에서는 지정된 VPC의 모든 트래픽을 캡처하고 지정된 Amazon S3 버킷에 흐름 로그를 전송하는 흐름 로그를 생성합니다. --log-format 파라미터는 흐름 로그 레코드의 사용자 지정 형식을 지정합니다.
aws ec2 create-flow-logs --resource-typeVPC--resource-idsvpc-00112233344556677--traffic-type ALL --log-destination-types3--log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
