MENU

会員登録（無料）

SCS-C02#5(security-logging)

この問題のディスカッション

SCS-C02#5(security-logging)

あるセキュリティエンジニアは、本番 VPC のネットワークトラフィックを記録し、後で接続元 IP・接続先ポート・許可拒否状況を Athena で分析できるようにする必要があります。さらにコストを最小限に抑え、長期保管も求められています。どの構成が最も適切ですか。

A. VPC フローログを CloudWatch Logs に配信し、サブスクリプションフィルターで Lambda へ転送して S3 に保存させます。
B. VPC ミラーリングセッションを作成し、全トラフィックを EC2 のキャプチャ用インスタンスへ送信して保管します。
C. VPC フローログを S3 に直接配信し、Athena でクエリしながらライフサイクルで Glacier に移行します。
D. VPC フローログを Kinesis Data Firehose に送信し、変換してから OpenSearch へ保存します。

正解と解説ディスカッション 0

正解：C

正解の根拠

VPC フローログを S3 に直接配信する方式は CloudWatch Logs より低コストで、Athena でクエリ可能な Parquet 形式にも対応します。S3 ライフサイクルで Glacier に移行することで長期保管コストも最小化できます。

不正解の理由

A: CloudWatch Logs と Lambda の処理コストが余分にかかり、長期保管としても割高になります。
B: VPC ミラーリングはペイロード解析向けで、フローログ要件とは目的が異なります。
D: OpenSearch は検索用途では強力ですが、フローログの長期低コスト保管には向きません。

参考：Publishing flow logs to Amazon S3

コメント

コメント

コメントするコメントをキャンセル