AWS VPC Flow Log란

VPC Flow log란 ?

VPC의 네트워크 인터페이스(ENI)로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처할 수 있는 기능이며, Flow Logs 데이터는 Amazon CloudWatch Logs 또는 Amazon S3에 저장할 수 있다. VPC, 서브넷 또는 네트워크 인터페이스에 대한 Flow Logs를 생성할 수 있다고 한다. 

 

VPC Flow Logs형식

1. 기본 형식

${version} ${account-id} ${interface-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport}
${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

2. 필드 설명

필드	설명
version	VPC Flow Log Version
account-id	트래픽이 기록되는 소스 네트워크 인터페이스 소유자의 AWS 계정 ID
interface-id	트래픽이 기록되는 네트워크 인터페이스 ID
srcaddr	들어오는 트래픽의 소스 주소 또는 네트워크 인터페이스의 나가는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소
dstaddr	나가는 트래픽의 대상 주소 또는 네트워크 인터페이스의 들어오는 트래픽의 네트워크 인터페이스의 IPv4 또는 IPv6 주소.
srcport	트래픽의 소스 포트
dstport	트래픽의 대상 포트
protocol	패킷에 대한 Protocol Number
packets	캡처 중 전송된 패킷 수
bytes	캡처 중 전송된 바이트 수
start	캡처 시작 시간 (단위 : Unix 초)
end	캡처 종료 시간 (단위 : Unix 초)
action	ACCEPT : 보안 그룹 및 네트워크 ACL에서 허용한 기록된 트래픽 REJECT : 보안 그룹 또는 네트워크 ACL에서 허용하지 않은 트래픽
log-status	Flow Log의 로깅 상태 – OK: 데이터가 선택된 대상에 정상적으로 로깅 – NODATA: 캡처 기간 중 ENI에서 전송하거나 수신된 네트워크 트래픽이 없을 경우 – SKIPDATA: 캡처 기간 중 일부 Flow Log 레코드를 건너뜀. 내부용량 제한 또는 내부오류 원인 가능

적절한 권한을 설정해줌으로써 이 로그들을 기록할 수 있다.

 

 

삭제

나는 이 기능을 이용하려고 알아본 것이 아니라, Cloud watch에서 매달 고정적으로 비용이 발생하고 있었기에, 불필요하다면 줄이기 위하여 알아보았다. 70개 가까이 되는 ENI에서 나오는 모든 VPC Flow Log를 실시간으로 기록하고 있었다. 

 

VPC FLOW LOG COST

Data payload가 매달 255GB $200

Log Snapshot이 매달 2.6TB $100

 

이 기록들을 분석하거나 사용하느냐? 이것도 아니었다.

종합적으로 확인해본 결과, 불필요하게 매달 지출되는 비용이라고 생각하여 삭제하였다.