VPC 플로우 로그를 사용하여 데이터 수집 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 서비스 매핑을 사용하도록 설정하여 VPC(가상 사설 클라우드) 로그를 사용하여 수집된 데이터를 기반으로 검색을 수행합니다. 이 방법은 AWS(Amazon Web Services)를 사용하는 조직과 관련이 있습니다.

    시작하기 전에

    다음으로 이동하여 AWS 계정에 대한 자격 증명이 플랫폼의 자격 증명 모듈에 구성되어 있는지 확인합니다. 서비스 매핑 > 자격 증명 > AWS 자격 증명. AWS 자격 증명에 대한 자세한 내용은 클라우드 자격 증명을 참조하십시오.

    필요한 역할: admin 또는 service_mapping_admin

    이 태스크 정보

    기본 시스템에서 트래픽 기반 검색은 netstat, sslsof 명령의 도움을 받아 수집된 TCP 관련 데이터만 사용합니다. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. VPC 플로우 로그를 사용하도록 서비스 매핑을 구성하여 트래픽 기반 검색을 보강할 수 있습니다. VPC 플로우 로그를 기반으로 하는 서비스 매핑 검색 흐름에 대한 자세한 내용은 VPC 플로우 로그를 사용한 데이터 수집 및 검색 문서를 참조하십시오.

    Amazon VPC는 Amazon Web Services를 제공하는 Amazon Elastic Compute Cloud(EC2) 인스턴스를 호스팅합니다. VPC 플로우 로그는 VPC의 네트워크 인터페이스에 들어오고 나가는 IP 트래픽에 대한 데이터를 수집합니다.

    ServiceNow 커넥터가 MID 서버를 트리거하여 플로우 로그에서 데이터를 수집하고 처리하도록 구성합니다. 여러 플로우 로그 그룹이 있는 배포에서 모든 플로우 로그 그룹에 대해 하나의 MID 서버로 작업하는 전용 커넥터를 구성합니다. 여러 플로우 로그 그룹에서 동일한 AWS 자격 증명을 사용할 수 있습니다.

    프로시저

    1. 공식 AWS 문서에 설명된 대로 Amazon EC2 콘솔에 VPC 플로우 로그를 구성합니다.
    2. VPC 플로우 로그를 사용하여 작업하도록 서비스 매핑을 구성합니다.
      1. 다음으로 이동 서비스 매핑 > 관리 > 플로우 커넥터.
      2. 새로 만들기를 클릭합니다.
      3. AWS VPC 플로우 로그를 클릭합니다.
      4. AWS VPC 플로우 로그 페이지에서 커넥터 매개변수를 다음과 같이 구성합니다.
        필드 설명
        이름 커넥터에 대한 설명이 포함된 이름입니다.
        그룹 이름 Amazon EC2 인스턴스가 로그 스트림을 전달하는 중앙 플로우 로그 그룹의 이름입니다.
        MID 서버 서비스 매핑에서 AWS의 플로우 로그 그룹에서 데이터를 수집하는 데 사용하는 MID 서버입니다.
        AWS 자격 증명 플로우 로그를 수집할 계정과 관련된 AWS 자격 증명을 선택합니다.
      5. 제출을 클릭합니다.
    3. 서비스 매핑에서 VPC 플로우 로그를 사용하여 데이터를 수집하는지 확인합니다.
      1. AWS VPC 플로우 로그 양식에서 새로 구성된 커넥터를 선택하고 지금 실행을 클릭하여 데이터 수집 흐름을 시작하고 플로우 연결 [sa_flow_connection] 테이블을 채웁니다.
      2. 다음으로 이동 시스템 정의 > 테이블.
      3. 플로우 연결 [sa_flow_connection] 테이블을 클릭합니다.
      4. 관련 링크에서 목록 표시를 클릭합니다.
      5. 테이블에 데이터가 포함되어 있는지 확인합니다.