Skip to content

VPC 콘솔 가이드 - 보안 그룹 로깅 추가 #5

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Open
seunghee122 wants to merge 2 commits into
base: alpha
Choose a base branch
from
Open

VPC 콘솔 가이드 - 보안 그룹 로깅 추가 #5

Changes from all commits
Commits
Show all changes
2 commits
Select commit Hold shift + click to select a range
351f201
VPC 콘솔 가이드 - 보안 그룹 로깅 추가
Jul 31, 2020
4dc25f6
VPC 콘솔 가이드 - 보안 그룹 로깅 내용 추가
Aug 3, 2020
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
18 changes: 17 additions & 1 deletion ko/console-guide.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -302,7 +302,23 @@ default via 10.254.0.1 dev eth2

* 목록에 없는 규칙은 정의하여 사용할 수 있습니다. [Well-known port](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)


## 보안 그룹 로깅
보안 그룹 로깅은 보안 그룹에 의해 허용되거나 차단된 패킷을 확인하는 목적으로 사용됩니다.
보안 그룹 로깅을 설정하면 현재 프로젝트에서 보안 그룹을 사용하는 모든 인스턴스를 대상으로 적용됩니다.
로깅 생성의 액션을 DROP으로 설정하는 경우 보안 그룹에 의해 차단 되는 모든 패킷이 로깅됩니다. 로깅 생성의 액션을 ACCEPT로 설정하는 경우에는 보안 그룹에 의해 허용된 패킷이 로깅 됩니다. 이 때, 양방향 통신이 되는 경우에는 허용된 패킷 중 세션의 첫번째 패킷만 로깅되고, 양방향 통신이 되지 않는 경우에는 허용된 모든 패킷이 로깅됩니다. 로깅 생성의 액션 ALL로 설정하는 경우에는 위의 두가지 조건이 모두 적용됩니다.
저장소 타입을 오브젝트 스토리지로 설정하는 경우 저장소의 위치는 오브젝트 스토리지 서비스 페이지의 **API 엔드포인트 설정** 버튼을 클릭해 Object Store 값으로 지정합니다. 다른 프로젝트에 있는 오브젝트 스토리지 서비스의 Object Store를 지정하는 것도 가능합니다. 저장 경로로 지정할 컨테이너는 반드시 미리 만들어져 있어야 하지만, 그 하위 폴더는 미리 만들어 놓지 않아도 됩니다. 예를 들어 저장 경로를 /mycon/sglog/ 로 지정하는 경우, mycon 이라는 컨테이너는 미리 만들어져 있어야 하지만 sglog 폴더는 생성되어 있지 않아도 됩니다.
보안 그룹에 의해 로깅된 패킷 정보는 10분 단위로 사용자가 지정한 오브젝트 스토리지 저장소에 JSON 형식의 파일로 저장됩니다. 단, 로깅 기능 설정 후 최초의 로깅 파일은 10분 이내로 생성될 수 있습니다. 10분 동안 로깅되는 패킷이 없는 경우에는 파일이 생성되지 않습니다. 오브젝트 스토리지 저장소에 저장되는 로깅 파일은 '저장경로/프로젝트ID/인스턴스ID/' 하위에 저장됩니다. 저장되는 파일의 이름은 YYYY-MM-DDThh:mm±hh_인스턴스ID_액션 으로 지정됩니다. (예: 2020-07-10T11:15+0900_a70e7335-a175-45d9-975a-fd2669719dfe_DROP) 보안 그룹 로깅으로 인해 사용되는 오브젝트 스토리지에 대한 과금은 오브젝트 스토리지 서비스의 과금 정책을 따릅니다.
오브젝트 스토리지에 저장되는 패킷 정보는 아래와 같습니다.

|항목| 설명
|------|------
|date| 로그 생성 날짜와 시간
|action| 보안 그룹에 의해 취해진 조치. DROP 혹은 ACCEPT
Copy link
Copy Markdown

@yykids yykids Aug 12, 2020

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

보안 그룹에서 취해진 조치

(번역 투 수정 - ~에 의해를 다른 표현으로 다듬기)

|ethernet| ethertype: 이더넷 타입<br> src: 출발지 MAC 주소<br> dst: 목적지 MAC 주소
|ipv4| src: 출발지 IP 주소<br> dst: 목적지 IP 주소<br> proto: IP 프로토콜 번호 (1: icmp, 6: tcp, 17: udp)<br> total_length: IP 패킷 길이 (IP 헤더 길이 + 데이터 길이)<br> identification: IP 헤더 Fragment Identifier 필드<br> flags: IP 헤더 Fragmentation Flags 필드. 10진수로 출력
|tcp| src_port: 출발지 포트<br> dst_port: 목적지 포트<br> seq: Sequence 번호<br> ack: Acknowledgement 번호<br> bits: TCP Flags (URG&#124;ACK&#124;PSH&#124;RST&#124;SYN&#124;FIN) 10진수로 출력 (예: SYN: 2, ACK: 16, SYN&#124;ACK: 18)
|udp| src_port: 출발지 포트<br> dst_port: 목적지 포트
|icmp| type: ICMP 타입 번호<br> code: ICMP 코드 번호


## 라우팅 테이블
Expand Down