すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:VPC フローログを有効にしてネットワークトラフィックを分析および監査する

    ドキュメントセンター

    Elastic Compute Service:VPC フローログを有効にしてネットワークトラフィックを分析および監査する

    最終更新日:Nov 14, 2025

    VPC トラフィックログを有効にすると、フローログサービスが VPC、vSwitch、および Elastic Network Interface (ENI) からのトラフィックを収集できるようになります。このトラフィックは、フローログとして Simple Log Service (SLS) に保存されます。

    セキュリティリスク

    VPC フローログは、VPC との間で送受信されるすべての IP トラフィックを記録します。主な利点は次のとおりです。

    • トラフィックのモニタリングと分析: ネットワークトラフィックのパターンをモニタリングし、アプリケーションの通信動作を分析します。

    • トラブルシューティング: 異常なネットワーク接続やパフォーマンスのボトルネックなどの問題を迅速に特定します。

    • セキュリティ、監査、コンプライアンス: ネットワークアクティビティの追跡可能なレコードを提供することで、データセキュリティとコンプライアンスの要件を満たします。

    • ネットワークセキュリティ攻撃の分析: 異常トラフィックや不正スキャンなど、潜在的なネットワークセキュリティ攻撃を分析します。

    VPC フローログは、VPC 内の ECS インスタンス間の通信や、VPC と外部ネットワーク間の通信を含む、ネットワークフロー情報を記録します。各フローログレコードは、特定のネットワークセッションの集計統計です。セッションは、その 5 次元ルール (送信元 IP、宛先 IP、送信元ポート、宛先ポート、プロトコル) によって一意に識別されます。ログの内容には、通信時間とトラフィック量などの主要なメトリックや、トラフィックの方向とネットワーク要素 ID などのメタデータが含まれます。

    ベストプラクティス

    VPC フローログの有効化と作成

    1. VPC フローログを有効にする

      フローログ機能を初めて使用する場合は、次の手順を実行します。

      • [フローログ] ページで、[今すぐ承認] をクリックし、次に [承認の確認] をクリックしてセキュリティ認証を完了します。この操作により、RAM ロールが自動的に作成されます。

        RAM ロール AliyunVPCLogArchiveRole と RAM ポリシー AliyunVPCLogArchiveRolePolicy。デフォルトでは、VPC

        このロールとポリシーは Simple Log Service へのアクセスを許可し、フローログがサービスに書き込まれるようにします。

      • フローログページで、[今すぐ有効化] をクリックします。次に、[フローログサービスを有効にする] をクリックします。パブリックプレビュー中にフローログインスタンスを作成した場合は、クリックする必要があります

        [今すぐアクティブ化] をクリックして、これらのインスタンスを再度表示および管理します。

      • Simple Log Service コンソール に移動し、Simple Log Service を有効にします。

    2. フローログの作成

      VPC コンソールの フローログページ に移動します。[フローログの作成] をクリックします。[フローログの作成] パネルで、次のパラメーターを設定します。

      • 収集設定:

        • リージョン: ターゲットリソースが配置されているリージョンを選択します。

        • リソースタイプリソースインスタンス: 使用可能なリソースタイプは、Elastic Network Interface (ENI)vSwitch、および VPC です。VPC または vSwitch を選択した場合、システムは選択したリソース内のすべての ENI のトラフィックをモニタリングします。

          これが完了すると、システムはその中のすべての Elastic Network Interface (ENI) のトラフィックをモニタリングします。

        • トラフィックタイプ: キャプチャするトラフィックを選択します。アクセスの制御によって許可または拒否されたトラフィックをキャプチャできます。アクセスの制御には、セキュリティグループとネットワーク ACL が含まれます。

        • トラフィック収集バージョン: IPv4 のみのトラフィック、または IPv4 と IPv6 の両方 (デュアルスタック) のトラフィックを収集できます。現在 IPv6 をサポートしているリージョンは次のとおりです: 中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (フフホト)中国 (深圳)シンガポール米国 (シリコンバレー)、および米国 (バージニア)

        • サンプリング間隔 (分): トラフィック情報を集約するためのキャプチャウィンドウ。1 分、5 分、または 10 分を選択できます。間隔が短いほど、よりタイムリーなログが提供され、問題の発見と特定が迅速になります。間隔が長いほど、タイムリーさは低下しますが、ログエントリの数が減り、コストを節約できます。たとえば、TCP 持続的接続の場合、1 分の間隔では 1 時間あたり 60 のログエントリが生成されますが、10 分の間隔では 6 つしか生成されません。

          ログをより頻繁に生成すると、問題の発見と特定が迅速になります。ウィンドウが大きいほど、タイムリーさは低下しますが、ログエントリの数が減り、コストを節約できます。

          たとえば、TCP 持続的接続の場合、1 分のウィンドウでは 1 時間あたり 60 のログエントリが生成されます。10 分のウィンドウでは 1 時間あたり 6 つのエントリしか生成されません。

          複数のフローログインスタンスが同じネットワークインターフェースカード (NIC) からトラフィックをキャプチャする場合、システムはすべてのインスタンスの中で最小のサンプリング間隔を実際のキャプチャ間隔として使用します。

        • サンプリングパス: コストを削減するために特定のキャプチャシナリオを選択します。シナリオを選択する前に、まずデフォルトの [すべてのシナリオ] オプションの選択を解除する必要があります。IPv4 ゲートウェイ、NAT Gateway、VPN Gateway、Transit Router (TR)、ゲートウェイエンドポイント、仮想ボーダールータ (VBR)、Express Connect Router (ECR)、および Gateway Load Balancer (GWLB) を通過するトラフィックをキャプチャできます。

          IPv4 ゲートウェイ、NAT Gateway、VPN Gateway、Transit Router (TR)、ゲートウェイエンドポイント、仮想ボーダールータ (VBR)、Express Connect Router (ECR)、および Gateway Load Balancer (GWLB) を通過するトラフィックをキャプチャできます。

      • 分析と配信の設定: 少なくとも 1 つの宛先を選択します。

        • Simple Log Service に配信:

          • プロジェクトと Logstore の選択: 初めてフローログを作成するときは、[プロジェクトの作成][Logstore の作成] をクリックして、フローログデータを他のデータから分離することをお勧めします。複数のフローログを 1 か所に集約して一元的に分析するには、同じ Logstore を選択します。

          • フローログ分析とレポートを有効にする: このオプションを選択することをお勧めします。この機能は、対応する Logstore に自動的にインデックスを作成し、ダッシュボードを作成して、フローログでの SQL 実行と視覚的分析をサポートします。この機能が有効になると、SLS は課金を生成します。

        • [NIS トラフィック分析を有効にする] (まだ利用できません)。

      [OK] をクリックしてフローログを作成します。フローログが作成されると、システムは自動的にトラフィック情報の収集を開始します。

    2. フローログの分析

    フローログを分析することで、ネットワークパフォーマンスのモニタリング、ネットワーク問題のトラブルシューティング、ネットワークトラフィックコストの最適化、およびネットワークセキュリティ分析を実行できます。

    カスタム分析: Logstore を使用する

    VPC コンソールの フローログページ に移動します。ターゲットフローログの [Simple Log Service] 列で、Logstore インスタンス名をクリックして詳細ページに移動します。このページでは、次の操作を実行できます。

    テンプレートベースの分析: Flowlog ログセンターを使用する

    Flowlog ログセンターは、一連の可視化テンプレートを提供します。これらのテンプレートは、VPC ポリシー、ENI トラフィック、およびネットワークセグメント間のトラフィックの統計をサポートしており、VPC フローログを迅速に分析するのに役立ちます。

    1. [Flowlog ログセンター] ページに移動し、右上隅の [追加] をクリックします。

    2. [インスタンスの作成] パネルで、[インスタンス名] を入力します。既存のフローログに対応する [プロジェクト][Logstore] を選択します。次に、[OK] をクリックします。

    3. インスタンスが作成されたら、[Flowlog ログセンターリスト] でインスタンス ID をクリックします。[Flowlog 詳細] ページで、フローログ情報を表示および分析できます。

      [モニタリングセンター] は、次のダッシュボードとカスタムクエリ機能を提供します:

      • 概要: フローログの許可および拒否の傾向、インバウンドおよびアウトバウンドのトラフィックの傾向、各 VPC および ENI のパケットとバイトの総数、および送信元と宛先の IP アドレスの地理的分布を表示します。

        各 ENI のパケットとバイトの総数、および送信元と宛先の IP アドレスの地理的分布。

      • ポリシー統計: 許可および拒否の傾向、許可および拒否された接続の数などの情報を表示します。この情報は、送信元 IP、宛先 IP、送信元ポート、宛先ポート、およびプロトコルで構成される 5 次元ルールに基づいています。

        この情報は、送信元 IP、送信元ポート、プロトコル、宛先 IP、および宛先ポートで構成される 5 次元ルールに基づいています。

        • 許可: セキュリティグループとネットワーク ACL によって許可されるトラフィック。

        • 拒否: セキュリティグループとネットワーク ACL によって拒否されるトラフィック。

      • ENI トラフィック: ENI のインバウンドおよびアウトバウンドのトラフィック情報を表示します。

      • ECS 間トラフィック: ECS インスタンス間のトラフィックを表示します。

      • カスタムクエリ: ログのクエリと分析のクイックガイドをご参照ください。

    4. ドメイン間分析を有効にする (オプション): [Flowlog 詳細] ページで、[ネットワークセグメント設定] をクリックします。[ネットワークセグメント設定] タブで、[「ドメイン間分析」を有効にする] スイッチをオンにします。

      ドメイン間分析機能を有効にすると、システムは自動的にデータ変換タスクを作成します。このタスクは、ネットワークセグメント情報を含む VPC フローログを生成し、異なるネットワークセグメント間のトラフィックを分析するために使用されます。データ変換機能は料金が発生します

      [ドメイン間分析] は、次のダッシュボードとカスタムクエリ機能を提供します:

      • ドメイン間トラフィック: 異なるネットワークセグメント間のトラフィックを表示します。

      • ECS からセグメントへのトラフィック: ECS インスタンスから宛先 CIDR ブロックへのトラフィックを表示します。

      • 脅威インテリジェンス: 送信元および宛先 IP アドレスの脅威インテリジェンス情報を表示します。

      • カスタムクエリ: ネットワークセグメント情報を含む VPC フローログをクエリおよび分析できます。