Informationen zu IBM Cloud Flow Logs for VPC
IBM Cloud® Flow Logs for VPC ermöglicht das Erfassen, Speichern und Darstellen von IP-Datenverkehr von und zu Netzschnittstellen in Ihrer VPC (Virtual Private Cloud).
Ablaufprotokolle können Sie bei einer Reihe von Tasks unterstützen, z. B.:
- Fehlerbehebung in Fällen, in denen Datenverkehr eine Instanz nicht erreicht - hilfreich bei der Diagnose einschränkender Sicherheitsgruppenregeln
- Aufzeichnen des Metadatennetzverkehrs, der Ihre Instanz erreicht
- Ermitteln des Quellen- und Zieldatenverkehrs von Netzschnittstellen
- Einhalten von Vorschriften
- Unterstützung bei der Ursachenanalyse
Funktionsübersicht von
- Verfügbarkeit in allen IBM Cloud-Regionen mit mehreren Zonen (Multi-Zone Regionen, MZR), Bereitstellung globaler Lösungen
- Netzorientierung für Lebenszyklus und Betriebsmanagement
- Aussetzen (stop) und Wiederaufnehmen (start) der Kollektoraktivität
- Speichert die Kollektorausgabe bequem in IBM Cloud® Object Storage.
- Keine Beeinträchtigung der Netzleistung
- Integrierte Fehlertoleranz
- Kostenabrechnung pro GB Metadaten, die für jedes Ablaufprotokollziel erfasst werden
Ablaufprotokollkollektoren konfigurieren
Sie können Ablaufprotokollkollektoren mit unterschiedlichen Erfassungsbereichen konfigurieren. Beispiel: Ein Collector, der auf eine VPC abzielt und In-Transit-Daten aus allen Netzwerkschnittstellen innerhalb dieser VPC sammelt. Oder ein Collector, der auf eine virtuelle Serverinstanz abzielt und Daten während der Übertragung aus den Netzschnittstellen dieser virtuellen Serverinstanz nur zusammenfasst. Nach dem Sammeln der Daten werden die Ablaufprotokolle in einem IBM Cloud® Object Storage Bucket gespeichert, den Sie beim Erstellen des Ablaufprotokollkollektors konfigurieren.
Sie können die Granularität eines Ablaufprotokollkollektors für die folgenden Zielbereiche festlegen. Beachten Sie beim Erstellen eines Ablaufprotokolls für ein Teilnetz oder eine VPC-Instanz, dass alle Netzschnittstellen in dem Teilnetz bzw. in der VPC-Instanz überwacht werden.
| Ziel | Art der erfassten Daten |
|---|---|
| VPC | Erfasst Daten für alle Netzschnittstellen in einer bestimmten VPC-Instanz. |
| Teilnetz | Erfasst Daten für alle Netzschnittstellen in einem bestimmten Teilnetz. |
| Instanz | Erfasst Daten für alle Netzschnittstellen in einem bestimmten virtuellen Server. |
| Schnittstelle | Erfasst Daten für eine bestimmte Netzschnittstelle in einem bestimmten virtuellen Server. |
Während jedes Kollektor-Upload-Intervalls werden zwei Flussprotokolle (Eingang und Ausgang) pro Netzwerkschnittstelle in den dafür vorgesehenen Object Storage Bucket geschrieben.
Priorität für höchste Granularität
Jedes Ablaufprotokollziel kann einen Ablaufprotokollkollektor aufweisen, sodass Überschneidungen entstehen können. Dazu verschiedene Beispiele, mit der höchsten Granularität zu Beginn:
- Eine Virtual Server-Instanzschnittstelle kann einen Ablaufprotokollkollektor haben.
- Die Virtual Server-Instanz, der die Schnittstelle zugeordnet ist, kann einen separaten Ablaufprotokollkollektor haben.
- Das Teilnetz, dem die Virtual Server-Instanz zugeordnet ist, kann einen eigenen Ablaufprotokollkollektor haben.
- Die VPC, zu der das Teilnetz gehört, kann einen eigenen Ablaufprotokollkollektor haben.
Im Falle einer Überschneidung hat der Ablaufprotokollkollektor Vorrang, der am häufigsten als Ziel ausgewählt wurde. Dieser Vorrang ist wichtig, da jeder Flow Log Collector in einem anderen Object Storage Bucket protokollieren kann und sich der Speicherort der Flow Log-Daten während der Lebensdauer einer virtuellen Serverinstanz ändern kann.
Einführung
Führen Sie die folgenden Schritte aus, um mit der Verwendung von Ablaufprotokollkollektoren zu beginnen:
- Erfüllen Sie alle Voraussetzungen, bevor Sie IBM Cloud-Ablaufprotokolle bestellen.
- Legen Sie den Erfassungsbereich fest und erstellen Sie mindestens einen Ablaufprotokollkollektor.
- Überprüfen Sie die generierten Ablaufprotokolle. Details finden Sie in Objekte des Ablaufprotokolls anzeigen.
Das Erstellen oder Löschen eines Ablaufprotokolls wirkt sich nicht auf die Netzleistung aus. Ablaufprotokolldaten werden außerhalb des Pfads Ihres Netzverkehrs erfasst, sodass Netzlatenz und Durchsatz nicht beeinträchtigt werden.
Anwendungsfälle für Ablaufprotokolle
Mit IBM Cloud Flow Logs for VPC können Sie überprüfen, ob Netzverbindungen und Daten die vorgesehenen Ziele ordnungsgemäß erreichen, und Fehler beheben, wenn dies nicht der Fall sein sollte. Dies ist z. B. hilfreich bei der Fehlerdiagnose in Bezug auf Sicherheitsgruppenregeln, die den Datenverkehr einschränken, und in Bezug auf Datenflüsse, deren Übertragung verweigert wurde.
Anwendungsfall 1: Einrichten feinster Granularität gewinnt
Das nachfolgende Diagramm veranschaulicht verschiedene Möglichkeiten im Hinblick auf die Konfiguration von Ablaufprotokollkollektoren. In dem Beispiel sind verschiedene in einer VPC definierte Ablaufprotokollziele farblich hervorgehoben, um zu verdeutlichen, welche Kollektoren die Daten von den zugehörigen Instanzen erhalten. Beispiel:
-
Bei dem Ablaufprotokollkollektor VPC (blau) handelt es sich um einen als Auffangschirm konzipierten Kollektor. Der Datenverkehr aller derzeitigen und zukünftigen Instanzen in der VPC fließt in das Bucket 'Bucket-E' ein, sofern keine anderen Kollektoren dieses Bucket als Ziel verwenden.
-
Der Ablaufprotokollkollektor Subnet (grün) stellt ebenfalls einen als Auffangschirm konzipierten Kollektor dar, jedoch für ein bestimmtes Teilnetz innerhalb einer VPC. Der Datenverkehr aller derzeitigen und zukünftigen Instanzen in diesem Teilnetz fließt in das Bucket 'Bucket-C' ein.
-
Der Ablaufprotokollkollektor Instance (rot) wird verwendet, wenn Sie eine höhere Granularitätsstufe verwenden. Angenommen z. B., dass das Bucket 'Bucket-E' von der Instanz 'Instance-5' verwendet wurde und ein Konnektivitätsproblem mit einer bestimmten Instanz behoben werden soll. Sie können in diesem Fall eine gezieltere Fehlerbehebung durchführen, indem Sie speziell für diese Instanz einen Ablaufprotokollkollektor erstellen und den gesamten Datenverkehr für eine bestimmte Zeit an ein separates Bucket senden.
feinste Granularität gewinnt
Anwendungsfall 2: Fehlerbehebung bei Sicherheitsgruppen und Netzwerk-ACLs
Ähnlich wie in Anwendungsfall 1 wird in diesem Anwendungsfall veranschaulicht, wie die Granularität von Flow-Log-Kollektoren für verschiedene Zielbereiche festgelegt werden kann. Dieser Anwendungsfall geht jedoch einen Schritt weiter und demonstriert, wie Ablaufprotokollkollektoren die Fehlerbehebung durch Verwendung von Sicherheitsgruppen und Netz-ACLs (NACLs) erleichtern können.
Szenario:
- Die Netz-ACL 'NACL 2' im Teilnetz 'Subnet 3' verhindert die Ausführung eines Web-Servers in diesem Teilnetz. Dabei ist zu beachten, dass diese Netz-ACL eingehenden Datenverkehr zulässt, ausgehenden Datenverkehr jedoch zurückweist.
- Eine Virtual Server-Instanz im Teilnetz 'Subnet 2' mit der Netz-ACL 'NACL 1', die eingehenden und ausgehenden Datenverkehr zulässt, versucht, den in Teilnetz 'Subnet 3' ausgeführten Web-Server abzufragen.
- Die Abfrage erreicht ihr Ziel und es steht fest, dass der Datenverkehr auf dem Ingress-Pfad zum Teilnetz 'Subnet 3' in der Virtual Server-Instanz 31 (VSI 31) zugelassen wird.
- Nach dem Empfang der Anforderung durch die Virtual Server-Instanz 31 generiert diese Instanz eine Antwort und versucht, die Antwort zu senden. Die Antwort wird jedoch nicht zurückgegeben und Ihre Verbindung wird am Teilnetz 'Subnet 2' blockiert, bis das zugehörige Zeitlimit überschritten ist.
- Aus den Ablaufprotokollen geht in diesem Fall hervor, dass die Anforderung gesendet und von der Virtual Server-Instanz 31 zugelassen wurde. Aus den Ablaufprotokollen geht ebenfalls hervor, dass der Datenverkehr für die Antwort abgelehnt wurde.
Anwendungsfall 3: Erkennung von Port-Schwachstellen
Bei dem folgenden Szenario initiiert ein Angreifer Verbindungen zu verschiedenen TCP-Ports. Diese Verbindungen werden wiederum durch den Sicherheitsgruppenfilter blockiert. Flussprotokolle sammeln alle Flüsse, die von der Sicherheitsgruppe abgelehnt wurden, und melden sie an IBM Cloud® Object Storage.
