amazon-web-services - AWS - 如何监控对 169.254.169.254 的访问
问题描述
我正在尝试查找除我之外的其他人是否试图进入我的实例元数据详细信息。
有没有办法监控试图访问 169.254.169.254 的人?云径?流日志?如果没有,有什么办法可以解决吗?
解决方案
我自己只是在寻找解决这个问题的方法,但找不到任何预先构建的或通过 AWS 服务的东西。VPC Flowlog 文档特别提到了这个限制:https ://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-limitations
可以在本地跟踪这一点,因此您可以构建工具以更有用的方式执行此操作(通过 datadog 或 cloudwatch 代理解析日志或将其发送到 SIEM 等)。这是我使用的基本 tcpdump 命令,因此我可以在 2 小时内分析流量,然后就地分析(替换ensX
为用于实例私有 IP 的适配器):
sudo timeout 120m tcpdump -i ensX dst 169.254.169.254 | grep -E 'GET|PUT' > metadata_service_access.log
我的用例是查看我们是否过度利用了服务(也许通过 boto 或直接调用),因为我们遇到了一些我认为我们遇到了瓶颈的问题。
推荐阅读
- r - 在制作ggplot轴标题时,我如何写£^-1?
- xslt - 在 msxml 中实现评估(XPath)
- python - 如何比较if语句中的字符串列表?
- sql - 如何在 SQL 中为每个带有行号的 user_id 选择最大收入?
- reactjs - 为什么我的 reducer 将新对象添加到我的 redux 存储而不是更改当前对象值?
- sql - 损坏数据库备份以使 CHECKSUM 失败
- javascript - 如何在 Vue 3 中打印特定元素?
- swift - 为什么即使我分配了所有属性,我也需要使用 self.init() 初始化结构?
- scala - 当结构中的所有值都为空时,如何在 Scala spark 中使结构为空?
- slack-api - Slack API - 如何发送多个图像,以便它们显示在画廊中