VPC 로그 이벤트 이론 및 실습

클라우드에 대해 공부해보고자 인프런의 "AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안" 강의를 수강하면서 필기한 내용입니다.

VPC Flow 로그

VPC Flow 로그는?

• VPC 흐름 로그는 VPC와의 IP 트랙픽을 캡처하는 데 도움
• VPC 흐름 로그의 데이터는CloudWatch 로그 또는 S3 버킷에 게시할 수 있음
• 허용된 트래픽만 기록하거나 거부된 트래픽 또는 둘 다를 기록하도록 선택할 수 있음
• VPC 수준, 서브넷 수준, 네트워크 인터페이스 수준 등 다양한 수준에서 생성
• VPC와의 모든 IP 트래픽을 기록할 수 있지만, Accept/Reject, ALL등을 선택 가능

IAM 정책 및 역할 생성의 중요성

이때 IAM 정책이 굉장히 중요하다.

정책은 우선 특정한 자원들 또는 특정한 사용자들에게 부여하는 것으로 자원이나 사용자들은 정책에 의해서 접근이 있어야만이 cloudwatch쪽으로 전송할 수 있다거나 자원이나 사용자 스스로 vpc 로그라고 하는 곳에 접근을 해 저장할 수 있다.

만약 로그가 cloudwatch 쪽으로 보내지지 않거나 에이전트끼리 로그들을 교환 하지 못한다면 정책에 관한 문제들이 클 경우가 높다

VPC 로그 이벤트 수집 실습

인스턴스 생성

보안 그룹 조건은 아래와 같다.

생성한 인스턴스는 VPC Flow쪽에서는 누군가가 SSH로 접속을 한다거나 인스턴스의 터미널로 접속을 한다면 쌓이는 로그를 확인할 수 있을 것이다.

CloudWatch 그룹 생성

그룹은 로그들이 쌓이는 공간이라고 생각하면 된다. 그리고 그 공간 최대 10000개 정도까지 쌓을 수 있다.

보존 설정의 경우 만기 없음으로 하게 되면 계속해서 비용이 발생함으로 실습 과정에 필요한 기간만큼 만을 설정

IAM 정책 및 역할 설정

정책과 역할들은 VPC 로고가 쌓이고 로그들을 CloudWatch쪽으로 보내기 위한 하나의 권한들을 부여해야 한다.

정책 생성

정책 권한 설정

cloudwatch logs와 같이 로그와 관련된 서비스 선택

액세스 수준 설정

나열

• DescribeLogGroups
• DescribeLogStreams

쓰기

• CreateLogGroup
• CreateLogStream
• PutLogEvents

리소스 설정

설정 조건에 맞게 json 파일이 생성되는 것을 볼 수 있다.

다음으로 넘어가 검토 및 생성에서 정책 이름을 지정하고 생성을 완료한다.

역할 생성

권한 추가

이름 지정

신뢰 정책 편집

VPC Flow log 생성

최대 집계 간격의 경우 1분으로 설정 시 비용이 더 든다는 것을 주의

대상의 경우 S3에 저장 시 장기적으로 보관하거나 ELK같은 곳에 통합 로그를 하는 경우 선택할 수 있다.

플로우 로그 생성 확인

EC2 연결

최대 집계 간격을 10분으로 설정했기 때문에 10분 뒤에 확인해본다.

로그 스트림이 생성되었고

로그들이 쌓이는 것을 확인할 수 있다

log insights를 통해 쿼리문들을 볼 수 있고 해당 쿼리가 무엇을 나타내는지도 자세히 설명이 나와있ㄷ다.

쿼리 실행을 누르면 다양한 정보를 쉽게 볼 수 있다