VPC 플로우 로그를 사용한 데이터 수집 및 검색

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 1분

    • 서비스 매핑은 VPC 플로우 로그를 사용하여 수집된 데이터를 기반으로 검색을 수행할 수 있습니다. Amazon VPC는 Amazon Web Services를 제공하는 Amazon Elastic Compute Cloud(EC2) 인스턴스를 호스팅합니다. VPC 플로우 로그는 VPC의 네트워크 인터페이스에 들어오고 나가는 IP 트래픽에 대한 데이터를 수집합니다.

    기본 또는 표준 구성인 기본 시스템에서 트래픽 기반 검색은 , ss, 및 명령을 사용하여 netstat수집된 TCP 관련 데이터에만 의존합니다lsof. Netflow 및 VPC 로그를 기반으로 검색하려면 추가 구성이 필요합니다. VPC 플로우 로그를 사용하도록 서비스 매핑을 구성하여 트래픽 기반 검색을 보강할 수 있습니다.

    VPC 플로우 로그를 기반으로 하는 서비스 매핑 검색의 흐름은 다음과 같습니다.
    1. Amazon EC2 인스턴스는 개별 로그를 로그 스트림으로 수집하여 중앙 플로우 로그 그룹으로 전달합니다.
      그림 1. AMAZON EC2 인스턴스에서 개별 로그 수집

      AMAZON EC2 인스턴스에서 개별 로그 수집
    2. ServiceNow 커넥터가 MID 서버를 트리거하여 플로우 로그에서 데이터를 수집하고 처리합니다.
    3. MID 서버는 처리된 정보를 ECC 큐에 배치합니다.
      그림 2. MID 서버는 플로우 로그에서 데이터를 수집하여 ECC 큐에 배치합니다.

      MID 서버 는 플로우 로그에서 데이터를 수집하여 ECC 큐에 배치합니다.
    4. 센서는 ECC 큐에서 프로세스 데이터를 검색하고 플로우 연결 [sa_flow_connection] 테이블에 기록합니다.

    5. ECC 큐를 검사하고 검색된 CI에 대한 정보를 받을 때마다 서비스 매핑은 해당 테이블에서 CI와 관련된 아웃바운드 연결에 있는 데이터(cmdb_tcp 및 sa_flow_connection 테이블)을 검사합니다. 이 두 테이블에 패턴이 검색되지 않은 고유한 데이터가 포함되어 있는 경우 서비스 매핑은 CI 연결 정보를 보강하여 맵에 추가합니다.

      그림 3. 수집된 데이터를 서비스 매핑에서 데이터를 수집하는 sa_flow_connection 테이블에 기록

      수집된 데이터는 서비스 매핑에서 데이터를 수집하는 sa_flow_connection 테이블에 기록됩니다.

    여러 플로우 로그 그룹이 있는 배포에서 모든 플로우 로그 그룹에 대해 하나의 MID 서버로 작업하는 전용 커넥터를 구성합니다. 여러 플로우 로그 그룹에서 동일한 AWS 자격 증명을 사용할 수 있습니다.