AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.
CloudWatch 로그 인사이트를 사용하여 VPC 흐름 로그를 쿼리하려면 어떻게 해야 합니까?
Amazon CloudWatch Logs Insights 쿼리를 사용하여 로그 그룹에 있는 Amazon Virtual Private Cloud(Amazon VPC) 흐름 로그를 처리하려고 합니다.
해결 방법
사용하는 구문의 개요는 CloudWatch Logs Insights 언어 쿼리 구문을 참조하십시오.
예제 쿼리 사용
CloudWatch 콘솔을 사용하여 CloudWatch 로그 인사이트 샘플 쿼리를 실행할 수 있습니다. 이전에 실행한 쿼리를 실행하려면 기록을 선택하십시오. 결과를 내보내려면 결과 내보내기를 선택한 다음, 형식을 선택하십시오.
시나리오 1
웹 서버, 애플리케이션 서버 및 데이터베이스 서버가 있습니다. 시간 초과 또는 HTTP 503 오류가 발생하여 오류의 원인을 파악하려고 합니다.
다음 예제 변수를 사용하여 쿼리를 실행합니다.
- 쿼리가 ** 거부된 연결만 ** 반환하도록 ** 작업을 ** REJECT로 설정합니다.
- 쿼리에 내부 네트워크만 포함합니다.
- 서버 IP 주소 목록에는 인바운드 연결과 아웃바운드 연결(srcAddr 및 dstAddr)이 모두 표시됩니다.
- 쿼리에 처음 ** 5개 항목만 ** ** 표시되도록 ** 제한을 5로 설정합니다.
- 웹 서버 IP 주소는 10.0.0.4입니다.
- 앱 서버 IP 주소는 10.0.0.5입니다.
- 데이터베이스 서버 IP 주소는 10.0.0.6입니다.
쿼리 예제:
filter( action="REJECT" and dstAddr like /^(10\.|192\.168\.)/ and srcAddr like /^(10\.|192\.168\.)/ and (srcAddr = "10.0.0.4" or dstAddr = "10.0.0.4" or srcAddr = "10.0.0.5" or dstAddr = "10.0.0.5" or srcAddr = "10.0.0.6" or dstAddr = "10.0.0.6") ) | stats count(*) as records by srcAddr,dstAddr,dstPort,protocol | sort records desc | limit 5
시나리오 2
네트워크 인터페이스에서 간헐적인 시간 초과가 발생합니다. 일정 기간 동안 네트워크 인터페이스에서 거부 여부를 확인하려면 다음 쿼리를 실행합니다.
fields @timestamp, interfaceId, srcAddr, dstAddr, action| filter (interfaceId = 'eni-05012345abcd' and action = 'REJECT') | sort @timestamp desc | limit 5
시나리오 3
특정 네트워크 인터페이스에서 보고서를 생성하려면 다음 쿼리를 실행합니다.
fields @timestamp, @message | stats count(*) as records by dstPort, srcAddr, dstAddr as Destination | filter interfaceId="eni-05012345abcd" | filter dstPort="80" or dstPort="443" or dstPort="22" or dstPort="25" | sort HitCount desc | limit 10
이전 쿼리에서는 다른 포트로 전송된 트래픽 양을 확인합니다.
시나리오 4
특정 IP 주소에 연결하려는 IP 주소를 나열하려면 다음 쿼리를 실행합니다.
fields @timestamp, srcAddr, dstAddr | sort @timestamp desc | limit 5 | filter srcAddr like "172.31."
특정 CIDR에 연결을 시도하는 IP 주소를 나열하려면 다음 쿼리를 실행합니다.
fields @timestamp, srcAddr, dstAddr | sort @timestamp desc | limit 5 | filter isIpv4InSubnet(srcAddr,"172.31.0.0/16")
더 많은 예제 쿼리는 Amazon VPC 흐름 ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-examples.html#CWL_QuerySyntax-examples-VPC) 로그용 [ 쿼리를 참조하십시오.
관련 정보
관련 콘텐츠
- 질문됨 일 년 전
