📌 Mục tiêu: Hiểu VPC Flow Logs là gì, cách triển khai, cách phân tích, và những câu hỏi thường gặp trong bài thi SOA-C02.
🌐 1. VPC Flow Logs là gì?
VPC Flow Logs cho phép bạn ghi lại thông tin về lưu lượng IP ra vào các network interfaces trong VPC của bạn.
✅ Tóm tắt:
| Tính năng | Mô tả |
|---|---|
| Ghi lại | Source IP, Destination IP, Port, Protocol, Bytes, Packets… |
| Lưu trữ | CloudWatch Logs hoặc S3 |
| Theo dõi | Inbound, Outbound traffic |
| Giám sát | Tìm lỗi mạng, giám sát an ninh, phát hiện hành vi bất thường |
🧱 2. Cấu trúc một Flow Log
Ví dụ một dòng log:
version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
Ví dụ:
2 111122223333 eni-abc12345 10.0.0.10 10.0.0.20 443 49152 6 10 800 1618844463 1618844523 ACCEPT OK
| Trường | Ý nghĩa |
|---|---|
| srcaddr | IP nguồn |
| dstaddr | IP đích |
| srcport/dstport | Port sử dụng |
| protocol | 6 = TCP, 17 = UDP |
| action | ACCEPT / REJECT |
🛠️ 3. Cách tạo VPC Flow Log
✅ 1. Tạo qua AWS Console
- Vào VPC Dashboard
- Chọn Your VPCs, hoặc Subnets / ENIs
- Chọn Create Flow Log
- Chọn:
- Filter:
All,Accept,Reject - Destination: CloudWatch Logs hoặc S3
- IAM Role phù hợp
- Filter:
✅ 2. Tạo bằng AWS CLI
aws ec2 create-flow-logs \
--resource-type VPC \
--resource-ids vpc-12345678 \
--traffic-type ALL \
--log-destination-type cloud-watch-logs \
--log-group-name vpc-flow-logs \
--deliver-logs-permission-arn arn:aws:iam::111122223333:role/vpc-flow-role
🧪 4. Khi nào nên dùng VPC Flow Logs?
- 🧯 Debug kết nối mạng bị lỗi
- 🔒 Phân tích bảo mật: xem lưu lượng lạ từ IP ngoài
- 📊 Auditing: lưu lại toàn bộ traffic để điều tra sự cố
- 🚫 Phát hiện access bị từ chối: REJECT logs
📥 5. Lưu trữ Flow Log ở đâu?
| Tùy chọn | Ưu điểm | Nhược điểm |
|---|---|---|
| CloudWatch Logs | Dễ phân tích bằng Insights | Có thể tốn chi phí |
| S3 | Lưu trữ lâu dài, phân tích bằng Athena | Không realtime |
💡 Trong đề thi: Câu hỏi thường hỏi “Bạn muốn lưu log traffic để phân tích về sau – nên dùng gì?” → S3.
🔎 6. Phân tích VPC Flow Log bằng CloudWatch Logs Insights
Ví dụ: Tìm các dòng bị từ chối trong 1h qua
fields @timestamp, srcAddr, dstAddr, action
| filter action = "REJECT"
| sort @timestamp desc
| limit 20
⚠️ 7. Lưu ý khi ôn thi
- ✅ Bạn không thể bật VPC Flow Log cho traffic nội bộ trong instance
- ✅ Flow Log không ghi các traffic liên quan đến Amazon DNS (Route 53)
- ✅ IAM Role phải có quyền ghi vào CloudWatch Logs nếu chọn destination là CloudWatch
- ✅ Không ảnh hưởng hiệu suất của VPC hoặc instance
📘 Câu hỏi thường gặp trong đề thi SOA-C02
❓Bạn cần ghi lại mọi traffic đi qua VPC để điều tra sự cố, nên dùng gì?
- A. AWS Config
- B. AWS CloudTrail
- C. VPC Flow Logs
- D. AWS Trusted Advisor
✅ Đáp án: C
❓VPC Flow Log có thể ghi lại traffic nào?
- A. Tất cả traffic, bao gồm traffic nội bộ của instance
- B. Chỉ traffic từ và đến Internet
- C. Traffic đến và đi từ ENI
- D. Traffic từ Lambda Function
✅ Đáp án: C
📌 Tổng kết
| Tính năng | Mục tiêu |
|---|---|
| VPC Flow Logs | Ghi lại lưu lượng IP trong VPC |
| Lưu vào | CloudWatch Logs hoặc S3 |
| Tạo từ | VPC, Subnet, hoặc ENI |
| Ứng dụng | Debug, bảo mật, phân tích traffic |
| Không ghi | Traffic nội bộ instance, DNS |
25 Views