フローログを使用して Virtual Private Cloud (VPC)、vSwitch、Elastic Network Interface (ENI) からの IP トラフィックをキャプチャし、Simple Log Service (SLS) に保存して、クエリ、可視化、アラートに活用します。
フローログの仕組み
フローログサービスは、VPC、vSwitch、ENI からトラフィックを収集し、SLS に保存します。
各レコードは、キャプチャウィンドウ内のネットワークセッションを集約したものです。セッションは、送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコルからなる 5タプル で識別されます。各レコードには以下が含まれます。
-
期間とボリューム:セッションの継続時間と転送されたデータ量
-
トラフィックの方向:ネットワークインターフェイスに対するインバウンドまたはアウトバウンド
-
ネットワーク要素 ID:セッションに関連付けられた ENI、vSwitch、または VPC
ユースケース
-
トラフィック監視:トラフィックパターンと、アプリケーションがネットワーク全体でどのように通信しているかを特定します。
-
トラブルシューティング:フローレベルのデータを使用して、接続の問題、パケット損失、パフォーマンスのボトルネックを診断します。
-
セキュリティ監査:ネットワークアクティビティの追跡可能な記録を保持し、拒否されたトラフィックを確認して不正アクセスを検出します。
-
脅威検出:異常なトラフィックスパイク、ポートスキャン、または不審な IP アドレスへの接続を特定します。
前提条件
以下を確認してください。
-
少なくとも 1 つの vSwitch と 1 つの ENI (例: Elastic Compute Service (ECS) インスタンス) を持つ VPC。
-
VPC フローログと SLS を管理するための RAM 権限を持っていること。
フローログサービスの承認
初めてフローログを使用する際は、以下の手順を完了してください。
-
フローログページに移動します。
-
今すぐ作成 をクリックし、次に 許可された IP アドレス をクリックします。これにより、RAM ロール
AliyunVPCLogArchiveRoleと RAM ポリシーAliyunVPCLogArchiveRolePolicyが作成され、VPC サービスに SLS Logstore への書き込みアクセス権が付与されます。 -
フローログページで 今すぐ有効化 をクリックし、次に [今すぐ有効にする] をクリックします。
パブリックプレビュー期間中にフローログインスタンスを作成した場合は、今すぐ有効化 をクリックしてインスタンスを表示および管理します。
-
Simple Log Service コンソール に移動し、まだアクティベートしていない場合は SLS をアクティベートします。
フローログの作成
-
VPC コンソールのフローログページに移動します。
-
[フローログの作成] をクリックします。
-
[収集設定] セクションで、以下を設定します。
複数のフローログインスタンスが同じ NIC からトラフィックをキャプチャする場合、すべてのインスタンスの中で最も小さいサンプリング間隔が使用されます。
パラメーター
説明
[フローログ名]
フローログの名前。
[リージョン]
ターゲットリソースのリージョン。
[リソースタイプ]と[リソースインスタンス]
[ENI]、[vSwitch]、または [VPC] を選択します。VPC または vSwitch を選択すると、その中のすべての ENI が監視されます。
[データ転送タイプ]
キャプチャするトラフィック:許可、拒否、または両方。アクセス制御にはセキュリティグループとネットワーク ACL が含まれます。
[IP アドレスのタイプ]
IPv4 トラフィックのみの場合は [IPv4] を、IPv4 と IPv6 の両方の場合は [デュアルスタック] を選択します。IPv6 は、中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深セン)、シンガポール、米国 (シリコンバレー)、米国 (バージニア) でサポートされています。
[サンプリング間隔 (分)]
キャプチャウィンドウ: 1、5、または 10 分。間隔が短いほど、より頻繁にエントリが作成され、問題の検出が速くなりますが、生成されるデータは多くなります。たとえば、永続的な TCP 接続の場合、1 分間隔では 1 時間あたり 60 エントリが生成されるのに対し、10 分間隔では 1 時間あたり 6 エントリになります。
[サンプリングパス]
トラフィックをキャプチャするネットワーク要素。まず [すべてのシナリオ] の選択を解除し、次に IPv4 ゲートウェイ、NAT ゲートウェイ、VPN ゲートウェイ、Transit Router (TR)、ゲートウェイエンドポイント、仮想ボーダールーター (VBR)、Express Connect Router (ECR)、Gateway Load Balancer (GWLB) から選択します。キャプチャパスを絞り込むと、ログの量とコストが削減されます。
-
[分析と配信] セクションで、少なくとも 1 つの宛先を選択します。
-
[Log Serviceに転送]: Project と Logstore を選択します。最初のフローログの場合、[Project の作成] と [Logstore の作成] をクリックしてフローログデータを分離します。複数のフローログの分析を一元化するには、同じ Logstore を選択します。
-
[ログ分析レポートを有効にする]: Logstore にインデックスを作成し、ダッシュボードを作成して、フローログに対する SQL クエリと視覚分析を自動的に行います。SLS の課金が適用されます。
-
[NIS トラフィック分析を有効にする]:まだ利用できません。
-
-
OK をクリックします。
作成後、システムは自動的にトラフィックの収集を開始します。
フローログの分析
SLS での生ログデータのクエリ
SLS クエリを使用して、生ログデータを検索、フィルタリング、分析します。
-
VPC コンソールのフローログページに移動します。
-
[Simple Log Service] 列で、対象のフローログの Logstore 名をクリックします。
-
Logstore ページで:
-
[生ログ] を表示して、個々のフローログエントリを検査します。
-
クエリ文を入力して、フローログを検索および分析します。
-
Flowlog Log Center の構築済みダッシュボードの使用
Flowlog Log Center は、一般的な分析タスクのための構築済みダッシュボードを提供します。
-
Flowlog Log Center に移動し、追加 をクリックします。
-
インスタンスの作成 パネルで、インスタンス名 を入力し、フローログを含む プロジェクト と Logstore を選択して、OK をクリックします。
-
インスタンス ID をクリックして [フローログ詳細] を開きます。[監視センター] では、以下が提供されます。
ダッシュボード
説明
[概要]
許可/拒否の傾向、インバウンド/アウトバウンドのトラフィック傾向、VPC および ENI ごとの合計パケットとバイト数、送信元および宛先 IP の地理的分布。
[ポリシー統計]
5タプル別の許可および拒否の傾向。 許可:セキュリティグループとネットワーク ACL によって許可されたトラフィック。 拒否:拒否されたトラフィック。このダッシュボードを使用して、ブロックされた接続を特定し、アクセス制御ルールを検証します。
[ENI トラフィック]
ENI ごとのインバウンドおよびアウトバウンドトラフィック。
[ECS 間トラフィック]
ECS インスタンス間のトラフィック。
[カスタムクエリ]
フローログデータに対して SQL クエリを実行します。詳細については、「クエリと分析ガイド」をご参照ください。
CIDR ブロック間のトラフィック分析 (オプション)
CIDR ブロック間のトラフィックを分析し、脅威を検出し、ECS インスタンスから特定のネットワークセグメントへのトラフィックを追跡します。
-
[フローログ詳細] ページで、[CIDR ブロック設定] をクリックします。
-
[CIDR ブロック設定] タブで、[ドメイン間分析] をオンにします。これにより、フローログにネットワークセグメント情報を付加するデータ変換タスクが作成されます。データ変換には料金が発生します。
-
変換タスクが開始されると、以下のダッシュボードが利用可能になります。
ダッシュボード
説明
[ドメイン間トラフィック]
CIDR ブロック間のトラフィック量。
[ECS からドメインへのトラフィック]
ECS インスタンスから特定の CIDR ブロックへのトラフィック。
[脅威インテリジェンス]
送信元および宛先 IP の脅威インテリジェンス。既知の悪意のあるアドレスへの接続を特定します。
[カスタムクエリ]
ネットワークセグメントデータで強化されたフローログに対してクエリを実行します。詳細については、「クエリと分析ガイド」をご参照ください。