DEV Community

Rodrigo Fernandes
Rodrigo Fernandes

Posted on

AWS VPC Flow Logs

#aws #cloud #devops #security

Anotações sobre o AWS VPC Flow Logs para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

Image description

Definição do fornecedor

O VPC Flow Logs é um recurso que possibilita que você capture informações sobre o tráfego de IP para e proveniente de interfaces de rede da VPC.

Anotações gerais

  • Captura trafego da vpc, subnet e armazena no cloudwatch logs
  • Logs do trafego da VPC a nível da interface de rede da EC2 (eni)
  • Não é real-time
  • Não inspeciona os pacotes
  • Grava toda a informação que chega na EC2 e toda informação que sai a nível de rede
  • Max aggregation - 1 min ou 10 min
  • Destination - Bucket S3 ou CloudWatch Logs
  • Tem como escolher no filtro - ALL, Accept **or **Deny
  • Pode-se utilizar o Athena para analisar os logs

Formato do Log padrão

Documentação oficial

Image description

1 - version -> Versão do VPC flow Logs
2 - Account ID -> Account Id da AWS
3 - Interface ID -> Id da interface de rede (eni)
4 - srcaddr  -> O endereço de IP de origem 
5 - dstaddr  -> Endereço de IP de destino
6 - srcport  -> Porta de origem
7 - dstport  -> Porta de destino
8 - Protoloco -> Numero do protocolo
9 - Packets -> Numero de pacotes transferidos
10 - Bytes -> Numero de bytes transferidos
11 - Start -> Inicio
12 - end -> Fim
13 - Action-> REJECT ou ACCEPT
14 - log status -> Status do Flow Log

Os logs de fluxo podem ajudar em diversas tarefas

  • Diagnosticar regras de grupo de segurança excessivamente restritivas
  • Monitorar o tráfego que chega à sua instância
  • Determinar a direção de entrada e saída do tráfego das interfaces de rede

Flow log data can be published to the following

  • Amazon CloudWatch Logs
  • Amazon S3
  • Amazon Kinesis Data Firehose

Não captura esses logs

  • DNS
  • Ativação da licença do Windows
  • Metadata - 169.254.169.254
  • DHCP

Levels

  • VPC
  • Subnet
  • Network Interface

Formato do Log personalizado

  • Os campos adicionais incluem uma variedade de informações, como região, az-id, tcp-flags (conjunto), caminho de tráfego, direção de fluxo e muito mais.
  • Os logs de fluxo de VPC não fornecem visibilidade de carga útil no tráfego

Top comments (0)