Q30 — AWS ANS-C01 第1章

第 30/100 题 | ← 返回第1章

一家公司在VPC中部署了一个应用程序,该应用程序使用NAT网关进行出站互联网流量。网络工程师注意到大量可疑网络流量正通过互联网从VPC流向一个拒绝列表中包含的IP地址。网络工程师必须实施一种解决方案,以确定哪些AWS资源正在生成这些可疑流量。该解决方案必须最小化成本和管理开销。

正确答案: C. 使用VPC流日志。将流日志发布到Amazon CloudWatch Logs中的日志组。使用CloudWatch Logs Insights查询流日志,以识别生成可疑流量的AWS资源。

解析

在解决此问题时,目标是确定哪个AWS资源正在生成可疑流量,同时要求解决方案成本最低且管理开销最小。A选项通过EC2实例和流量镜像来捕获和分析流量,但这种方法增加了额外的EC2成本和管理复杂性。B选项使用VPC流日志和SIEM解决方案,虽然有效,但SIEM解决方案的部署和配置可能增加成本和复杂性。C选项使用VPC流日志并将其发布到CloudWatch Logs,然后使用CloudWatch Logs Insights进行查询。这种方法既经济又高效,因为CloudWatch Logs Insights提供了强大的查询能力来分析流量日志,且无需额外部署复杂的SIEM系统。D选项虽然使用了Kinesis和Athena等高级服务,但这种方法在成本和管理复杂性上可能更高,不适合最小化成本和开销的要求。因此,C选项是最佳选择。