VPC-Datenflussprotokolle: Erstellen, Anzeigen, Löschen und Steuern der Verwendung von Datenflussprotokollen
VPC Flow Logs zeichnet Informationen darüber auf, was Ihr VPC-Netzwerk betritt und verlässt. Die Daten des Protokolls können in Amazon S3 oder CloudWatch Logs veröffentlicht werden. Einmal erstellt, ermöglicht Ihnen das VPC- Ablaufprotokoll, jede Netzwerkschnittstelle in dieser VPC zu überwachen. Die Datenflussprotokolle liefern Details über die:
- Quell- und Ziel-IP-Adressen von Benutzern, die versuchen, auf Ressourcen in Ihrer VPC zuzugreifen.
- Portnummern, die für den Zugriff auf die Cloud-Ressource verwendet werden.
- Angenommener und abgelehnter Datenverkehr.
- Übertragungsprotokolle, die von der Zugriffsanfrage auf die Cloud-Ressource verwendet werden.
Sie können diese Informationen nutzen, um Trends im Datenverkehr zu überwachen und bösartige Anfragen zu erkennen, um die Daten in der Cloud zu sichern.
In diesem Artikel werden die Schritte zum Erstellen, Anzeigen, Kontrollieren und Löschen von Datenflussprotokollen erläutert.
Zunächst müssen Sie ein VPC-Datenflussprotokoll erstellen, das die Daten des Verlaufsprotokolls an ein von Ihnen definiertes Ziel veröffentlicht. In diesem Artikel erfahren Sie, wie Sie die VPC-Datenflussprotokolle erstellen und in Amazon CloudWatch oder S3 veröffentlichen können.
Nach dem Erstellen und Festlegen des Ziels für die Veröffentlichung der Ablaufprotokolle können Sie die gesammelten Daten im Ziel analysieren, um Einblicke in den Verkehr zu erhalten, der in Ihr Netzwerk eintritt und es verlässt.
Datenflussprotokolle liefern Informationen über:
- Den geografischen Standort der Benutzer.
- Versuche, offene Ports zu finden.
- Übermäßig restriktive oder freizügige Sicherheitsgruppenrichtlinien.
Sehen Sie sich die folgenden Schritte an, um zu erfahren, wie Sie die Datenflussprotokolle anzeigen können, die an einem anderen Speicherort veröffentlicht wurden.
- Öffnen Sie die Amazon EC2-Konsole.
- Wählen Sie im Navigationsbereich Netzwerkschnittstellen.
- Wählen Sie die Netzwerkschnittstelle aus, deren Protokolle Sie anzeigen möchten, und klicken Sie dann auf die Registerkarte „Flow Logs“. Hier werden Informationen zu den VPC-Datenflussprotokollen angezeigt, z. B. der Zieltyp (in diesem Fall CloudWatch), der Zeitstempel der Protokollerstellung (Erstellungszeit) und die Protokoll-ID.
- Öffnen Sie die Amazon VPC-Konsole.
- Wählen Sie im Navigationsbereich Ihre VPCs oder Subnetze.
- Wählen Sie die VPC oder das Subnetz, dessen Protokolle Sie anzeigen möchten, und klicken Sie dann auf die Registerkarte „Flow Logs“. Hier werden Informationen zu den VPC-Datenflussprotokollen angezeigt, z. B. der Zieltyp (in diesem Fall S3), der Zeitstempel der Protokollerstellung (Erstellungszeit) und die Protokoll-ID.
Es kann vorkommen, dass Sie die Konfigurationsparameter eines bestehenden VPC-Ablaufprotokolls ändern müssen. Das Ändern der Parameter eines bestehenden Flow Logs ist in Amazon VPC jedoch nicht möglich. Stattdessen müssen Sie das vorhandene VPC-Ablaufprotokoll löschen und ein neues erstellen.
- Öffnen Sie die Amazon EC2-Konsole.
- Wählen Sie im Navigationsbereich Netzwerkschnittstellen.
- Wählen Sie die Netzwerkschnittstelle aus, deren Protokolle Sie anzeigen möchten, und klicken Sie dann auf die Registerkarte „Flow Logs“.
- Klicken Sie auf die Schaltfläche Löschen, um das ausgewählte VPC-Datenflussprotokoll zu löschen.
- Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld Ja, Löschen.
- Öffnen Sie die Amazon VPC-Konsole.
- Wählen Sie im Navigationsbereich Ihre VPCs oder Subnetze.
- Wählen Sie die VPC oder das Subnetz aus, deren Protokolle Sie anzeigen möchten, und klicken Sie dann auf die Registerkarte „Flow Logs“.
- Klicken Sie auf die Schaltfläche Löschen, um das ausgewählte VPC-Ablaufprotokoll zu löschen.
- Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld Ja, Löschen.
Hinweis: Das Löschen des VPC-Datenflussprotokolls deaktiviert nur den Protokolldienst und löscht nicht die Protokolle, die bereits an ein Ziel veröffentlicht wurden.
In AWS haben Identity and Access Management (IAM)-Benutzer standardmäßig nicht die Berechtigung, VPC-Ablaufpotokolle zu erstellen oder zu löschen. Die Erlaubnis, mit VPC-Ablaufprotokollen zu arbeiten, muss bestimmten Benutzern oder Benutzergruppen ausdrücklich erteilt werden.
- Wählen Sie in der AWS-Konsole unter dem Menü Services die Option IAM.
- Klicken Sie im linken Navigationsbereich auf Richtlinien.
- Klicken Sie auf Richtlinie erstellen.
- Geben Sie auf der Registerkarte JSON den Code für die Richtlinienanweisung ein. Nachfolgend finden Sie einen Beispielcode für die Erteilung von Berechtigungen zum Erstellen, Beschreiben und Löschen von Ablaufprotokollen.
{
{"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
- Klicken Sie auf Richtlinie überprüfen.
- Geben Sie einen Namen und eine Beschreibung für die Richtlinie ein.
- Klicken Sie auf Richtlinie erstellen.
- Suchen Sie die kürzlich erstellte Richtlinie in der Liste der Richtlinien und klicken Sie auf sie.
- Klicken Sie in der Dropdown-Liste Richtlinienaktionen auf Anhängen.
- Wählen Sie die Benutzer aus, die Zugang zur Arbeit mit Ablaufprotokollen benötigen.
- Klicken Sie auf Richtlinie anhängen.
VPC-Ablaufprotokolle bieten eine einzige Informationsquelle für die Überwachung des Datenverkehrs, der durch die verschiedenen Netzwerkschnittstellen und Subnetze in einer VPC fließt. Wenn Sie die VPC-Ablaufprotokolle richtig konfigurieren, um die Aktivitäten zu protokollieren, die überwacht werden müssen, können Sie die VPC-Ablaufprotokolle in vollem Umfang nutzen und Ihr Unternehmen voranbringen.
