1.     Flow logs는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능입니다

-      Flow logs 는 VPC, Subnet, EC2에서 설정 가능 하나, 모두 ENI 에 대한 모니터링을 의미한다. 설정 위치에 따른 범위와 기능은 아래와 같다.

1)    VPC : VPC 하위의 모든 ENI (EC2, ELB, RDS 등) 일괄 설정 및 추가 시 자동 설정

2)    Subnet : Subnet 하위의 모든 ENI (EC2, ELB, RDS 등) 일괄 설정 및 추가 시 자동 설정

3)    EC2 : ENI 에 대한 개별 설정

-      Flow logs 의 데이터는 CloudWatch 의 “log group” 에 저장되며, 설정시 기(미리)생성된 “log group” 가 있는 경우는 해당 group을 사용하고 없을 경우에는 자동으로 생성 된다. 이 데이터는 CloudWatch 의 logs 에서 확인 가능하다.

-      Flow logs 의 저장되는 실시간 데이터가 아니며 정보를 확인하는데 몇 분(minute)이 소요될 수 있다.

-      Flow logs 설정이 가능한 서비스는 ENI 가 제공(user에게 권한이 있는) 되는 “Elastic Load Balancing, Amazon RDS, Amazon ElastiCache, Amazon Redshift, and Amazon WorkSpaces”에서 생성할 수 있으나 해당 서비스 콘솔에는 없으며 EC2 콘솔(Network Interface) 혹은 EC2 API로 생성 할 수 있다. 

2.     VPC Flow logs 설정 방법

1)    VPC 설정 위치로 이동

먼저 VPC에서 원하는 VPC를 선택 후, Flow Logs를 선택 -> Create Flow Log를 클릭

2)    설정 화면

3)    항목별 설명

4)    IAM role (Set Up Permissions 을 이용하여 바로 생성 가능)

1.     Cloud Watch Logs 설정

1)    기본 설명

- Expire 기간 선택(1day ~ 10years 그리고 Never Expire 가능)

- 앞서 언급된 것 처럼 Flow logs 는 Cloudwatch 의 Logs 에 기록 되며 해당 기능에 의존하여 저장 기간을 설정 할 수 있다. (CloudWatch à Logs)

2)    저장 기간 설정

- 설정 : 설정하고자 하는 Log Group 에서 Expire Event After 항목 클릭

- Expire 기간 선택(1day ~ 10years 그리고 Never Expire 가능)

3)    S3 로 로그 넘기기  

- 설정 띄우기 : 옮기려는 Log Group 선택 à Actions -> Export data to Amazon S3

- 설정 하기 : 넘길 날짜 선택 및 저장할 S3 Bucket 선택

4)Search 설정
- Log Stream 으로 이동 하기 

- 전체 검색

a. 전체 stream 에 대한 검색(Stream 상단의 Search 클릭

b. 검색할 내용을 filter 에 넣고, 시작 날짜를 지정한다.

- 개별 stream 에 대한 검색(ENI별)

a.     검색을 원하는 stream 클릭

b.     검색 할 내용을 Filter에 넣고 시작 날짜를 지정한다.

4.     로그 filed 설명(메뉴얼 참조)

http://docs.aws.amazon.com/ko_kr/AmazonVPC/latest/UserGuide/flow-logs.html