将私有子网中的EC2实例的流日志发送到S3存储桶
0
【以下的问题经过翻译处理】 拓扑结构:我有托管在私有子网中的EC2实例。这个EC2实例通过NAT网关与S3存储桶通信。
要求:分析“哪个EC2实例与哪个S3存储桶(存储桶名称)通信”。
获取EC2到S3存储桶日志的实验失败:
- 使用子网的VPC流日志:其中,S3存储桶IP为目的地IP。但由于S3存储桶IP是短暂的,因此无法与S3存储桶名称相关联。
- 使用NAT流日志:它具有EC2 IP、S3 IP和NAT IP。同样,由于S3 IP是短暂的,因此无法与S3存储桶名称相关联。
- 使用S3存储桶的CloudTrail日志:其中,NAT IP作为源IP而不是EC2 IP。
问题:是否有任何方式/日志可以直接或通过相关联2个或更多日志来获取哪个EC2正在与哪个S3存储桶通信的信息?是否需要设置任何设置来获取此信息。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 Flow日志不是这里需要使用的合适工具,因为(正如您所发现的),存储桶名称与IP地址无关。相反,它是高级协议的一部分(它作为HTTPS请求传输到S3 API的一部分)-因此,即使您进行深度数据包检查,它仍然会被加密,这使得确定困难(再次)。
要获取所需的信息,您可以尝试以下步骤:
- 创建S3网关终端节点-这不会额外收费(实际上,它可能会减少NAT网关的费用),并且对您的应用程序透明。
- 启用S3访问日志记录-请注意,您将为日志的存储付费,因此建议删除旧日志以节省成本。
- 访问日志格式中包含请求者的源IP地址。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 9 个月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前