DNS 로그 활성화
AWS: DNS 로그 활성화
이전 섹션의 CloudFormation 템플릿에서 스택을 생성하는 동안 S3 버킷이 생성된 경우, route53 쿼리 로그의 대상 역할을 하는 템플릿에 의해 S3 버킷이 생성됩니다. DNS 쿼리 로그에 대해 모니터링되는 VPC는 수동으로 추가해야 합니다.
프로시저
단계 1 |
AWS 콘솔에서 Route53Query Logging(Route53Query 로깅)을 클릭합니다. |
단계 2 |
템플릿으로 생성된 쿼리 로거를 선택합니다. 템플릿에 제공된 접두사 이름을 가진 로거를 찾습니다. |
단계 3 |
선택 및 트래픽 인사이트를 가져올 모든 VPC를 선택하고 Add(추가)를 클릭합니다.
|
GCP: DNS 로그 활성화
GCP DNS 쿼리 로그를 활성화하려면 아래 단계를 수행합니다.
Procedure
Step 1 |
GCP 콘솔에서 VPC 네트워크로 이동합니다. |
||
Step 2 |
Google Cloud 쉘을 열고 다음 명령을 실행합니다. gcloud dns policies create POLICY_NAME --networks=NETWORK --enable-logging |
||
Step 3 |
Cloud Storage(클라우드 스토리지) 섹션으로 이동하여 스토리지 버킷을 생성합니다. 스토리지 버킷을 생성할 때 모든 항목을 기본값으로 둘 수 있습니다.
|
||
Step 4 |
Logs Route(로그 경로) 섹션으로 이동합니다. |
||
Step 5 |
Create Sink(싱크 생성)를 클릭합니다. |
||
Step 6 |
싱크 이름을 제공합니다. |
||
Step 7 |
싱크 서비스에 대해 "클라우드 스토리지 버킷"을 선택합니다. |
||
Step 8 |
위에서 생성한 클라우드 스토리지 버킷을 선택합니다. |
||
Step 9 |
"Choose logs to include in sink(싱크에 포함할 로그 선택)" 섹션에서 아래 단계는 GCP에 대한 VPC 플로우 로그의 단계와 동일합니다. 클라우드 스토리지 버킷을 공유하는 경우 아래 단계를 한 번만 수행하면 됩니다. |
||
Step 10 |
Create Sink(싱크 생성)를 클릭합니다. |
||
Step 11 |
로 이동합니다. |
||
Step 12 |
storage.buckets.list 권한이 있는 사용자 지정 역할을 생성합니다. |
||
Step 13 |
다음 권한으로 다른 사용자 지정 역할을 생성합니다. storage.buckets.get storage.objects.get storage.objects.list. |
||
Step 14 |
두 맞춤형 역할을 모두 멀티 클라우드 방어 컨트롤러에 대해 생성된 서비스 어카운트에 추가합니다. 두 번째 사용자 지정 역할을 추가할 때 다음 조건을 입력합니다.
|
||
Step 15 |
Pub/Subs로 이동합니다. |
||
Step 16 |
Create Topic(주제 생성)을 클릭합니다. |
||
Step 17 |
주제 이름을 제공하고 create(생성)를 클릭합니다. |
||
Step 18 |
Subscriptions(구독)를 클릭합니다. 방금 생성한 주제에 대해 생성된 구독이 있음을 확인할 수 있습니다. |
||
Step 19 |
구독을 편집합니다. |
||
Step 20 |
전달 유형을 Push(푸시)로 변경합니다. |
||
Step 21 |
Push(푸시)를 선택하면 엔드포인트 URL을 입력합니다. |
||
Step 22 |
Update(업데이트)를 클릭합니다. |
||
Step 23 |
Google Cloud 쉘을 열고 클라우드 스토리지 알림을 생성하고 |
Azure: DNS 로그
Azure는 현재 DNS 로그 쿼리를 표시하지 않습니다. 멀티 클라우드 방어 컨트롤러은(는) 이 클라우드 서비스 제공자의 로그를 활성화할 수 없습니다.