CloudWatch Logs에서 흐름 로그 레코드 처리 - Amazon Virtual Private Cloud
예: 흐름 로그에 대한 CloudWatch 지표 필터 및 경보 생성

CloudWatch Logs에서 흐름 로그 레코드 처리

CloudWatch Logs에서 수집한 다른 로그 이벤트처럼 흐름 로그 레코드를 처리할 수 있습니다. 로그 데이터 및 지표 필터 모니터링에 대한 자세한 내용을 알아보려면 Amazon CloudWatch Logs 사용 설명서필터를 사용하여 로그 이벤트에서 지표 생성을 참조하세요.

예: 흐름 로그에 대한 CloudWatch 지표 필터 및 경보 생성

이 예에서는 eni-1a2b3c4d에 대한 흐름 로그를 사용합니다. TCP 포트 22(SSH)를 거쳐 인스턴스에 연결하려는 시도가 한 시간 내에 10번 이상 거부된 경우 이를 알려 주는 알림을 만들 수 있습니다. 우선 경보를 만들려는 트래픽의 패턴과 일치하는 지표 필터를 만들어야 합니다. 그런 다음 지표 필터에 대한 경보를 만듭니다.

거부된 SSH 트래픽에 대한 지표 필터와 필터에 대한 경보를 만들려면

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 Logs, Log groups를 선택합니다.

  3. 로그 그룹에 대한 확인란을 선택한 다음 작업(Actions),지표 필터 생성(Create metric filter)을 선택합니다.

  4. 필터 패턴(Filter Pattern)에서는 다음과 같은 문자열을 입력합니다.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. 테스트할 로그 데이터 선택에서 네트워크 인터페이스에 대한 로그 스트림을 선택합니다. (선택 사항) 필터 패턴과 일치하는 로그 데이터 행을 보려면 패턴 테스트를 선택합니다.

  6. 준비가 되면 다음을 선택합니다.

  7. 필터 이름, 지표 네임스페이스 및 지표 이름을 입력합니다. 지표 값을 1로 설정합니다. 완료되면 다음을 선택하고 지표 필터 생성을 선택합니다.

  8. 탐색 창에서 Alarms, All alarms를 선택합니다.

  9. Create alarm(경보 생성)을 선택하세요.

  10. 생성한 지표 이름을 선택한 후 지표 선택을 선택합니다.

  11. 경보를 다음과 같이 구성한 후 다음(Next)을 선택합니다.

    • Statistic(통계)에서 Sum(합계)를 선택합니다. 이것으로 지정된 기간 동안 데이터 포인트의 총 수를 캡처할 수 있습니다.

    • 기간에서 1시간을 선택합니다.

    • TimeSinceLastActive가 다음과 같은 때마다에는 크거나 같음을 선택하고 10을 임계값으로 입력합니다.

    • 추가 구성에서 경보에 대한 데이터 포인트를 기본값 1로 남겨둡니다.

  12. Next(다음)를 선택합니다.

  13. 알림에서 기존 SNS 주제를 선택하거나 새 주제 생성을 선택하여 새로 생성합니다. Next(다음)를 선택합니다.

  14. 경보의 이름과 설명을 입력하고 다음을 선택합니다.

  15. 경보 미리 보기를 완료했으면 경보 생성을 선택합니다.