NIS Traffic Analyzer インスタンスを作成した後、トラフィックを分析するためにデータソースを追加する必要があります。NIS Traffic Analyzer は、VPC フローログとトランジットルーター (TR) フローログの 2 種類のデータソースをサポートしています。
既存のデータソースの追加
既存のデータソースを NIS Traffic Analyzer に直接追加できます。
フローログをデータソースとして NIS Traffic Analyzer に追加すると、処理料金とストレージ料金が発生します。詳細については、「NIS Traffic Analyzer の課金」をご参照ください。
ターゲット NIS Traffic Analyzer インスタンスの製品ページに移動します。Basic Information > [VPC フローログ] タブで、[データソースの追加] をクリックします。
[データソースの追加] ページで、追加したいデータソースのタブをクリックします:
VPC フローログ
ターゲットフローログを選択し、[OK] をクリックします。
重要新しいフローログのサンプリング間隔は、NIS Traffic Analyzer インスタンスに設定されたサンプリング間隔以下である必要があります。
トランジットルーターフローログ
ターゲットフローログを選択し、[OK] をクリックします。
重要新しいフローログのサンプリング間隔は、NIS Traffic Analyzer インスタンスに設定されたサンプリング間隔以下である必要があります。
新しいデータソースの作成と追加
VPC または TR フローログを作成していない場合は、データソースページで作成し、NIS Traffic Analyzer に追加できます。
VPC または TR フローログを作成すると料金が発生します。詳細については、「VPC フローログの課金」および「TR フローログの課金」をご参照ください。
フローログをデータソースとして NIS Traffic Analyzer に追加すると、処理料金とストレージ料金が発生します。詳細については、「NIS Traffic Analyzer の課金」をご参照ください。
ターゲット NIS Traffic Analyzer インスタンスの製品ページに移動します。Basic Information > [VPC フローログ] タブで、[データソースの追加] をクリックします。
[データソースの追加] ページで、追加したいデータソースのタブをクリックします:
VPC フローログ
[フローログの作成] をクリックします。表示されるダイアログボックスで、[収集設定] パラメーターを設定します:
重要新しいフローログのサンプリング間隔は、NIS Traffic Analyzer インスタンスに設定されたサンプリング間隔以下である必要があります。
リージョン: モニターしたいリソースのリージョンを選択します。
リソースタイプとリソースインスタンス: 収集の粒度を Elastic Network Interface (ENI)、vSwitch、または VPC に設定できます。VPC または vSwitch を選択した場合、システムは選択されたリソース内のすべての ENI のトラフィックをモニターします。
トラフィックタイプ: セキュリティグループルールやネットワーク ACL ルールなどのアクセスの制御ルールによって許可または拒否されたトラフィックをキャプチャするかどうかを選択します。
IP バージョン: [IPv4] を選択して IPv4 トラフィックのみをキャプチャするか、[デュアルスタック] を選択して IPv4 と IPv6 の両方のトラフィックをキャプチャできます。次のリージョンが IPv6 をサポートしています: 中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深圳)、シンガポール、米国 (シリコンバレー)、および 米国 (バージニア)。
サンプリング間隔 (分): トラフィック情報を集約するためのキャプチャウィンドウの期間です。間隔は 1、5、または 10 分に設定できます。間隔が短いほど、フローログがより頻繁に生成され、問題の発見と特定が迅速になります。間隔が長いほど、データの適時性は低下しますが、ログエントリの数が減り、コストを節約できます。
たとえば、持続的接続を維持する TCP セッションの場合、1 分のウィンドウでは 1 時間あたり 60 のログレコードが生成されますが、10 分のウィンドウでは 6 つのログレコードしか生成されません。
VPC 内の複数のフローログインスタンスが同じ ENI からトラフィックを収集する場合、すべてのインスタンスの中で最も短いサンプリング間隔が実際のキャプチャウィンドウとして使用されます。
サンプリングパス: 特定の収集シナリオを選択して、使用コストを削減できます。これを行うには、まずデフォルトの [すべてのシナリオ] オプションの選択を解除します。
次のネットワーク要素を通過するトラフィックを選択できます: IPv4 ゲートウェイ、NAT Gateway、VPN Gateway、トランジットルーター (TR)、ゲートウェイエンドポイント、仮想ボーダールータ (VBR)、Express Connect Router (ECR)、および Gateway Load Balancer (GWLB) エンドポイント。
ターゲットフローログを選択し、[OK] をクリックします。
トランジットルーターフローログ
[フローログの作成] をクリックします。[フローログの作成] ダイアログボックスで:
まず、[収集設定] パラメーターを設定します:
CEN: ターゲットトランジットルーターを含む Cloud Enterprise Network (CEN) を選択します。
TransitRouter: ターゲットトランジットルーターを選択します。
インスタンス: トラフィックを収集するリソースを選択します。
[リージョン間接続] を選択した場合、トランジットルーターから流出する単方向のトラフィックのみが収集されます。
[VBR 接続]、[VPC 接続]、[VPN 接続]、または [ECR 接続] を選択した場合、トランジットルーターに流入および流出する双方向のトラフィックが収集されます。
[TR] を選択した場合、トランジットルーター上のすべてのネットワークインスタンス接続からトラフィックが収集されます。これには、リージョン間接続、VBR 接続、VPC 接続、VPN 接続、および ECR 接続が含まれます。各リソースタイプの収集方向は、前の項目で説明したものと同じです。
サンプリング間隔: トラフィック情報がフローログに集約される間隔です。1、5、または 10 分を選択できます。間隔が小さいほど、よりタイムリーなデータが提供され、問題の発見と解決が迅速になります。間隔が大きいほど、適時性は低下しますが、生成されるログエントリが少なくなり、コストの削減に役立ちます。たとえば、持続的な TCP セッションの場合、1 分の間隔では 1 時間あたり 60 のログエントリが生成されますが、10 分の間隔では 6 つしか生成されません。
重要新しいフローログのサンプリング間隔は、NIS Traffic Analyzer インスタンスに設定されたサンプリング間隔以下である必要があります。
次に、[分析と配信の設定] > [ログフォーマット] パラメーターを設定します:
デフォルトフォーマット: すべてのフィールドを収集します。
カスタムフォーマット: 選択したフィールドのみを収集します。`srcaddr`、`dstaddr`、および `bytes` フィールドは必須です。選択するフィールドが少ないほど、ログ情報が簡素化され、コストが削減されます。
ログフォーマットを選択すると、システムは自動的にログフォーマット文字列を生成します。[選択したフォーマットをコピー] ボタンをクリックして、API を呼び出すことで、バッチ操作で同じフォーマットの複数のフローログを作成できます。
設定を確認したら、[OK] をクリックします。
フローログが作成された後、[データソースの追加] ページで、[トランジットルーターフローログ] タブをクリックします。作成したばかりのフローログを選択し、[OK] をクリックします。
データソースの削除
ターゲットデータソースの [アクション] 列で、[削除] をクリックします。
この操作は、NIS Traffic Analyzer からデータソースを削除するだけです。この操作では、NIS Traffic Analyzer にすでに保存されているトラフィック分析データや、データソースに対応するフローログ収集タスクは削除されません。収集タスクを削除するには、「VPC フローログの削除」および「TR フローログの削除」をご参照ください。