تجزیه و تحلیل گزارش های جریان VPC با استفاده از آنتن

گزارش جریان یک ویژگی منحصر به فرد است که به شما امکان می دهد ترافیک ورودی و خروجی را از رابط های شبکه AWS خود ضبط کنید. سه نوع گزارش جریان وجود دارد:
آ. گزارش های جریان VPC
ب گزارش‌های جریان زیرشبکه
ج سیاهههای مربوط به جریان رابط شبکه الاستیک.

تمرکز ما بر روی گزارش های جریان VPC خواهد بود. همانطور که از نام آن پیداست، ترافیک ورودی و خروجی از رابط های VPC را ضبط می کنیم. گزارش‌های جریان VPC را می‌توان در گزارش‌های Cloudwatch یا Amazon S3 ذخیره کرد.

گزارش‌هایی که برای این سناریو ضبط می‌شوند در آمازون S3 ذخیره می‌شوند و برای خروجی ساده‌شده در پلتفرم Anthena قابل جستجو هستند.

لطفا مراحل زیر را دنبال کنید:

مرحله 1

گزارش های جریان VPC را روی VPC موجود ایجاد کنید

گام 2
یک نام به flowlog بدهید و مقصدی را که لاگ ها در آن ذخیره می شوند را مشخص کنید. در مورد ما، ما سیاهههای ثبت شده را در داخل سطل S3 ذخیره می کنیم. به همین دلیل، سطل S3 ARN را در جایی که می خواهید گزارش خود را ذخیره کنید، مشخص کنید.

مرحله 3
فایل های گزارش در یک سطل S3 ذخیره شده اند.

مرحله 4
یک گروه کاری در Anthena ایجاد کنید.
https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html

![Image description](https://dev-to-uploads.s3.amazonaws.com/uploads/articles/72kcbk1u93zdpt6rjv1x.png)

مرحله 5.

یک جدول در پایگاه داده پیش فرض ایجاد کنید.

در صورت عدم وجود جدول خارجی ایجاد کنید vpc_flow_logs (
نسخه int،
رشته حساب_id،
رشته interface_id،
رشته srcaddr،
رشته dstaddr
srcport int،
dstport int،
پروتکل bigint،
بسته های بیگینت،
بایت بیگینت،
بیگینت را شروع کن،
end بیگینت،
رشته اکشن،
رشته log_status،
رشته vpc_id،
رشته subnet_id،
رشته instance_id،
tcp_flags int،
رشته را تایپ کنید،
رشته pkt_srcaddr،
رشته pkt_dstaddr،
رشته منطقه،
رشته az_id،
رشته sublocation_type،
رشته sublocation_id،
رشته pkt_src_aws_service،
رشته pkt_dst_aws_service،
رشته flow_direction،
Traffic_path int
)
تقسیم شده توسط (date تاریخ)
فرمت ردیف محدود شد
فیلدهای خاتمه یافته توسط ” “
LOCATION ‘s3://s3flowlog1/AWSLogs/003985890001/vpcflowlogs/us-east-1/’
TBLPROPERTIES (“skip.header.line.count”=”1”);

مرحله 6.

جدول را تغییر دهید و یک پارتیشن اضافه کنید.

ALTER TABLE vpc_flow_logs
افزودن پارتیشن (date=’11-05-2023′)
LOCATION ‘s3://s3flowlog1/AWSLogs/003985890001/vpcflowlogs/us-east-1/2023/05/131’;

مرحله 7

از پایگاه داده پرس و جو کنید و خروجی خود را تجزیه و تحلیل کنید.

آ.
* از vpc_flow_logs را انتخاب کنید.
ب
انتخاب کنید
interface_id،
srcaddr،
عمل،
پروتکل
از vpc_flow_logs
WHERE action = ‘رد کردن’ و پروتکل = 6
LIMIT 10
ج
انتخاب کنید
interface_id،
srcaddr،
عمل،
پروتکل
از vpc_flow_logs
WHERE action = ‘رد کردن’ و پروتکل = 6