Virtual Private Cloud (VPC) は、elastic network interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックに関する情報をキャプチャするフローログ機能を提供します。 フローログ機能を使用して、ネットワークアクセス制御リスト (ACL) のルールの確認、ネットワークトラフィックの監視、およびネットワークの問題のトラブルシューティングを行うことができます。 このトピックでは、VPCフローログを作成および管理する方法について説明します。

操作

フローログの作成

次の要件が満たされていることを確認してください。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. フローログ機能を初めて使用する場合は、[Log Service の有効化] をクリックしてフローログ機能を有効にします。
    説明 フローログを作成した場合は、[Log Service の有効化] をクリックするとフローログが表示されます。
  4. 上部のナビゲーションバーで、フローログを作成するリージョンを選択します。
    フローログ機能をサポートするリージョンの詳細については、「機能のリリースとサポート対象リージョン」をご参照ください。
  5. FlowLog ページで、フローログの作成 をクリックします。
  6. フローログの作成 ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
    フローログを初めて作成する場合は、権限の付与 をクリックし、[確認] をクリックします。 フローログをlog Serviceにインポートできるように、承認を完了する必要があります。
    項目説明
    フローログ名VSwitch の名前を入力します。
    リソースタイプトラフィック情報をキャプチャするリソースのタイプを選択し、リソースを選択します。 サポートされるリソースタイプ:
    • VPC: 指定されたVPC内のすべてのENIからトラフィック情報をキャプチャします。 フローログをサポートしていないElastic Compute Service (ECS) インスタンスがVPCに含まれている場合、ECSインスタンスのENIに関するトラフィック情報をキャプチャできません。
    • vSwitch: 指定されたvSwitchに関連付けられているすべてのENIからトラフィック情報をキャプチャします。 vSwitchにフローログをサポートしないECSインスタンスが含まれている場合、ECSインスタンスのENIに関するトラフィック情報をキャプチャできません。
    • ENI: 指定されたENIに関するトラフィック情報をキャプチャします。 ENIがフローログをサポートしていないECSインスタンスに関連付けられている場合、ENIに関するトラフィック情報をキャプチャできません。

    次のいずれかのファミリーのECSインスタンスは、フローログ機能をサポートしていません。

    ecs.c1、ecs.c2、ecs.c4、ecs.ce4、ecs.cm4、ecs.d1、ecs.e3、ecs.e4、ecs.ga1、ecs.gn4、ecs.gn5、ecs.i1、ecs.m1、ecs.m2、ecs.mn4、ecs.n1、ecs.n2、ecs.n4、ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.sn1、ecs.sn2、ecs.t1、ecs.xn4。

    上記のファミリーのECSインスタンスのフローログ機能を有効にするには、ECSインスタンスをアップグレードする必要があります。 詳細については、「サブスクリプションインスタンスのアップグレード設定」および「従量課金インスタンスの設定変更」をご参照ください。

    リソースインスタンストラフィック情報をキャプチャするリソースインスタンスを選択します。
    トラフィックタイプキャプチャするトラフィック情報のタイプを選択します。 有効な値:
    • All: 指定されたリソースからすべてのトラフィック情報をキャプチャします。
    • 許可: 指定されたリソースのセキュリティグループルールとネットワークACLルールによって許可されたトラフィックに関する情報を取得します。
    • Drop: 指定されたリソースのセキュリティグループルールとネットワークACLルールによって拒否されたトラフィックに関する情報をキャプチャします。
    プロジェクトキャプチャしたトラフィック情報を管理するプロジェクトを指定します。 有効な値:
    • Select Project: キャプチャしたトラフィック情報を保存する既存のプロジェクトを選択します。
    • プロジェクトの作成: キャプチャしたトラフィック情報を保存するプロジェクトを作成します。
    Logstoreキャプチャしたトラフィック情報を保存するLogstoreを指定します。 有効な値:
    • Logstoreの選択: キャプチャしたトラフィック情報を保存する既存のプロジェクトからLogstoreを選択します。
    • Logstoreの作成: キャプチャしたトラフィック情報を保存するLogstoreを作成します。
    FlowLog レポート分析機能の有効化Log Serviceインデックス作成を有効にし、Logstoreのダッシュボードを作成するには、このオプションを選択します。 その後、SQLクエリを使用してログデータを使用したり、ダッシュボードでログデータを分析したりできます。

    Log Serviceダッシュボードは無料です。 ただし、Log Serviceインデックスはデータ使用量に基づいて課金されます。 詳細については、「Log Service課金」をご参照ください。

    説明フローログの説明を入力します。

フローログの表示

フローログを作成した後、フローログに関する情報と、トラフィック情報がキャプチャされたENIを表示できます。

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. FlowLog ページでフローログを表示できます。
  5. [FlowLog] ページで、確認するフローログを見つけ、[リソース] 列の [表示] をクリックします。
  6. フローログ収集の詳細 パネルで、ID、ステータス、キャプチャスコープなど、フローログに関する基本情報を表示します。
  7. フローログ収集の詳細 パネルで、[フローログをサポートしない ENI] または [すべての ENI] タブをクリックして、ENIに関する情報を表示します。
    • フローログをサポートしない ENI: トラフィック情報をキャプチャできないENI。
    • すべての ENI: キャプチャスコープに属するすべてのENI。 たとえば、フローログがVPCに関するトラフィック情報をキャプチャする場合、このセクションには、トラフィック情報をキャプチャできるENIとキャプチャできないENIを含む、VPC内のすべてのENIが表示されます。

フローログの分析

フローログを分析することで、ネットワークACLルールの確認、ネットワークトラフィックの監視、ネットワークの問題のトラブルシューティングを行うことができます。

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. [FlowLog] ページで、分析するフローログを見つけ、[LogStore] 列のリンクをクリックします。
    ログ
  5. Log Serviceコンソールで、[検索と分析] をクリックします。
    フローログが表示されたら、フローログを表示および分析できます。

フローログの変更

フローログの作成後、フローログの名前と説明を変更できます。

説明 log Serviceコンソールを使用してフローログを作成した場合、フローログはVPCページで表示できますが、VPCで変更することはできません。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. [FlowLog] ページで、変更するフローログを見つけ、[インスタンスID /名前] 列の変更アイコンをクリックして、フローログの名前を変更します。
  5. フローログの説明を変更するには、[説明] 列の [変更] をクリックします。

フローログの有効化

[非アクティブ] 状態のフローログを有効にできます。 フローログを有効にすると、フローログはENIに関するトラフィック情報のキャプチャを開始します。

説明 log Serviceコンソールを使用してフローログを作成した場合、フローログはVPCページで表示できますが、VPCで有効にすることはできません。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. [FlowLog] ページで、有効にするフローログを見つけ、[操作] 列の [有効にする] をクリックします。
    フローログが有効になると、ステータスは [有効] に変わります。 フローログの有効化

フローログの無効化

フローログを無効にすることで、フローログによるENIのトラフィック情報のキャプチャを一時的に停止できます。 フローログを無効にすると、フローログは削除されません。 [非アクティブ] 状態のフローログを有効にして、ENIに関するトラフィック情報のキャプチャを再度開始できます。

説明 log Serviceコンソールを使用してフローログを作成した場合、フローログはVPCページで表示できますが、VPCで無効にすることはできません。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. [FlowLog] ページで、無効にするフローログを見つけ、[操作] 列の [無効化] をクリックします。
    フローログを無効にすると、フローログのステータスが [非アクティブ] に変わります。 フローログの無効化

フローログの削除

ステータスが [有効] または [無効] のフローログを削除できます。 フローログを削除しても、log Serviceコンソールでキャプチャされたトラフィック情報を表示できます。

説明 log Serviceコンソールを使用してフローログを作成した場合、フローログはVPCページで表示できますが、VPCでは削除できません。
  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > FlowLog を選択します。
  3. 上部のナビゲーションバーで、フローログが属するリージョンを選択します。
  4. [FlowLog] ページで、削除するフローログを見つけ、[操作] 列の [削除] をクリックします。
  5. フローログの削除 メッセージで、[OK] をクリックします。

参考資料