すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:フローログ

    ドキュメントセンター

    Virtual Private Cloud:フローログ

    最終更新日:Mar 04, 2025

    仮想プライベートクラウド (VPC) は、Elastic Network Interface (ENI) のインバウンドトラフィックとアウトバウンドトラフィックを記録するフローログを提供します。 この機能を使用して、ネットワークパフォーマンスの監視、ネットワークエラーのトラブルシューティング、トラフィックコストの削減、およびセキュリティ分析を実行できます。

    概要

    特定の ENI、VPC、または vSwitch のフローログを作成できます。 VPC または vSwitch のフローログは、フローログが有効になった後に追加された ENI を含め、ENI のすべてのトラフィックをキャプチャします。

    フローログによってキャプチャされたトラフィック情報は、Simple Log Service にフローログエントリとして保存されます。 各ログは、キャプチャウィンドウと呼ばれる特定のウィンドウ内のトラフィックフローの 5 タプルを記録します。 フローのトラフィック情報はキャプチャされ、フローログエントリに集約されます。

    シナリオに基づいて、特定のパスに対するトラフィックを収集して、フローログのコストを削減することを選択できます。 使用可能なオプションは次のとおりです。

    • すべてのシナリオ

    • IPv4 ゲートウェイを経由するトラフィック

    • NAT ゲートウェイを経由するトラフィック

    • VPN ゲートウェイを経由するトラフィック

    • Transit Router を経由するトラフィック

    • ゲートウェイエンドポイント経由でクラウドサービスにアクセスするトラフィック

    • VBR 経由で Express Connect 回線にアクセスするトラフィック

    • Express Connect Router (ECR) を経由するトラフィック

    • ゲートウェイロードバランサーエンドポイントを経由するトラフィック

    シナリオ

    ネットワーク監視

    コスト削減

    セキュリティ分析

    フローログをクエリすることで、次のことができます。

    • VPC スループットとパフォーマンスを監視する

    • トラフィック情報とトレンドを監視する

    • ネットワークの問題をトラブルシューティングする

    • アクセス制御ルールを確認する

    フローログによるネットワーク伝送を分析することで、トラフィックコストを削減するための次の情報を取得できます。

    • VPC から他のリージョンへのトラフィック

    • VPC から特定のパブリック IP アドレスへのトラフィック

    • VPC からローカル IDC および他のクラウドネットワークへのトラフィック

    • トラフィックが急増している ECS インスタンス

    予期しないイベントが発生した場合、VPC フローログをクエリすることで次の情報を取得できます。

    • すべての IP アクセス

    • アウトバウンドおよびインバウンドトラフィックレコードによる疑わしい IP または攻撃者 IP のアクセス

    課金

    フローログの生成は、各リージョンで毎月生成されるログの量に基づいて、段階的価格設定で課金されます。 すべての Alibaba Cloud アカウントは、リージョンごとに毎月 5 GB の無料枠を受け取ります。 ログ料金は、Simple Log Service の課金ポリシーに従います。 詳細については、「フローログの課金」をご参照ください。

    制限

    • 機能制限

      初めてフローログ機能を使用する場合は、Log Service ページにアクセスし、[今すぐ有効にする] をクリックしてフローログ機能を有効にします。

      説明

      既にフローログインスタンスを作成している場合は、[今すぐ有効にする] をクリックすると、以前に作成したフローログインスタンスがフローログページに戻ります。

    • サポートされているリージョン

      クリックして、サポートされているリージョンを表示します

      エリア

      リージョン

      アジアパシフィック - 中国

      中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (ウランチャブ)中国 (深セン)中国 (河源)中国 (広州)中国 (成都)中国 (香港)、および 中国 (福州 - ローカルリージョン)

      アジアパシフィック - その他

      日本 (東京)韓国 (ソウル)シンガポールマレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)、および タイ (バンコク)

      ヨーロッパとアメリカ

      ドイツ (フランクフルト)英国 (ロンドン)米国 (シリコンバレー)、および 米国 (バージニア)

      中東

      UAE (ドバイ) および SAU (リヤド - パートナーリージョン)

      重要

      SAU (リヤド - パートナーリージョン) リージョンは、パートナーによって運営されています。

    • クォータ制限

      名前/ID

      説明

      デフォルト値

      調整可能

      vpc_quota_flowlog_inst_nums_per_user

      各アカウントで作成できるフローログの最大数

      10

      次の操作を実行することで、クォータを増やすことができます。

    フローログの管理

    1. VPC コンソール にログオンします。

    2. 左側のナビゲーションウィンドウで、[O&M と監視] > [フローログ] を選択します。 上部のメニューバーから、フローログを作成するリージョンを設定します。

    要件に基づいて、次の操作に進みます。

    フローログの作成または削除

    フローログの作成

    説明

    フローログを作成する前に、次の前提条件が満たされていることを確認してください。

    • この機能を初めて使用する場合は、[今すぐ承認][承認ポリシーの確認] をクリックします。 フローログを Simple Log Service にインポートするには、承認が必要です。

    • Simple Log Service が Simple Log Service 製品ページ で有効になっています。

    • ログ収集用のリソース ( ENIVPCvSwitch など) が作成されています。

    フローログ ページで、フローログの作成 をクリックします。 フローログの作成 ダイアログボックスで、次のパラメーターを設定します。

    • リソースタイプ: トラフィックを収集するリソースタイプを選択します。 有効な値: [VPC][vswitch]、および [ENI]

      説明

      リソースタイプが [VPC] または [vswitch] の場合、フローログ ページにアクセスし、[ENI 収集スコープの表示][操作] 列でクリックすることで、収集されたデータを表示できます。

    • リソースインスタンス: トラフィックを収集するリソースインスタンスを選択します。

    • [データ転送タイプ]: 収集するトラフィックのタイプを選択します。 有効な値: [すべてのトラフィック][許可されたトラフィック]、および [拒否されたトラフィック]

    • [IP バージョン]: 現在、[ipv4] のみがサポートされています。

    • [プロジェクト]: [プロジェクトの作成] または [プロジェクトの選択] を選択して、収集されたトラフィックを保存できます。

      説明

      フローログの作成後にプロジェクトまたはログストアが削除されると、ログ配信に失敗する可能性があります。 フローログはバックエンドで自動的に停止しますが、配信成功として表示され続けます。 データ配信を復元するには、同じ名前のプロジェクトまたはログストアを再作成し、フローログを再起動します。

    • Logstore: [ログストアの作成] または [ログストアの選択] を選択して、収集されたトラフィックを保存できます。

    • FlowLog レポート分析機能の有効化: インデックス作成を有効にし、ログストアのダッシュボードを作成します。 これにより、SQL 文を実行し、データ分析を視覚化できます。

      Log Service のインデックス作成はデータ使用量に基づいて課金されますが、ダッシュボードは追加費用なしで提供されます。 詳細については、「課金対象項目」をご参照ください。

    • [サンプリング間隔 (分)]: サンプリング間隔を指定します。 使用可能な間隔は 1 分、5 分、10 分で、デフォルトは 10 分に設定されています。 サンプリング間隔が短いほど、フローログの生成頻度と適時性が高まりますが、ログエントリの数とフローログの全体的なコストも増加します。

      説明

      • フローログの作成後、フローログ ページにアクセスし、[編集] [サンプリング間隔 (分)] 列の下で選択して、サンプリング間隔を変更します。

      • VPC 内の複数のフローログが同じ ENI のトラフィックを収集している場合、サンプリング間隔はすべてのフローログインスタンスの中で最も短いサンプリング間隔に設定されます。

    • [サンプリングパス]: フローログのサンプリングパスを選択します。 使用可能なパスには、すべてのシナリオ、IPv4 ゲートウェイを経由するトラフィック、NAT ゲートウェイを経由するトラフィック、VPN ゲートウェイを経由するトラフィック、Transit Router を経由するトラフィック、ゲートウェイエンドポイント経由でクラウドサービスにアクセスするトラフィック、VBR 経由で Express Connect 回線にアクセスするトラフィックがあります。 デフォルトでは、[すべてのシナリオ] が選択されています。

      説明

      デフォルトでは、サンプリングパスは、拒否されたトラフィックとして分類されたトラフィックを記録しません。 拒否されたトラフィックを記録するには、フローログの作成時に、[トラフィックタイプ][拒否されたトラフィック] として選択し、[サンプリングパス][すべてのシナリオ] として選択します。

    フローログの削除

    [開始済み] または [開始されていません] 状態のフローログは削除できます。フローログが削除された後も、収集されたトラフィックにはコンソールからアクセスできます。

    フローログの分析

    フローログを分析することで、アクセス制御ルールを確認し、ネットワークトラフィックを監視し、ネットワークの問題をトラブルシューティングできます。

    ログストアの使用

    1. フローログ ページで、[simple Log Service] 列のログストアリンクをクリックします。

    2. コンソールの Simple Log Service 機能を使用して、フローログをクエリおよび分析します。

    フローログセンターの使用

    1. Log Service コンソール にログオンします。

    2. [ログアプリケーション] セクションで、[その他のログアプリケーションを表示] をクリックします。 [ログアプリケーション] ダイアログボックスで、[フローログセンター] をクリックします。

    3. [フローログ管理] ページで、[追加] をクリックします。 [インスタンスの作成] パネルで、フローログの作成時に設定したプロジェクトとログストアを選択します。

    4. インスタンスが作成されたら、[フローログセンター] でインスタンス ID をクリックします。 [フローログの詳細] ページで、データを表示および分析できます。

      日志中心

      [監視センター] でさまざまなダッシュボードを見つけてクエリをカスタマイズできます。

      • [概要]: フローログのステータスを表示します。

      • [ポリシー統計]: 許可されたトラフィックと拒否されたトラフィックの傾向、および許可と拒否の 5 タプルの詳細 (送信元 CIDR ブロック、送信元ポート、プロトコルタイプ、宛先 CIDR ブロック、宛先ポートを含む) を示します。

        • 許可: セキュリティグループとネットワーク ACL によって許可されたトラフィック。

        • 拒否: セキュリティグループとネットワーク ACL によってブロックされたトラフィック。

      • [ENI トラフィック]: ENI のインバウンドトラフィックとアウトバウンドトラフィックの詳細を表示します。

      • [ECS 間トラフィック]: ECS インスタンス間のトラフィックフローを示します。

      • [カスタムクエリ]: フローログをクエリおよび分析できます。

    5. [フローログの詳細] ページで、[CIDR ブロック設定] をクリックし、[ドメイン間分析] を有効にします。

      ドメイン間分析機能を有効にすると、システムは自動的にデータ変換タスクを作成し、CIDR ブロックを含む VPC フローログを生成して、CIDR ブロック間のトラフィックを分析できるようにします。 データ変換機能には 追加料金 が発生することに注意してください。

      Simple Log Service によって事前定義されている次の CIDR ブロックを使用すると、必要に応じてドメイン間分析機能を有効にできます。 事前定義された CIDR ブロックがニーズを満たしていない場合は、カスタムの CIDR ブロックを追加します。

      image

      [ドメイン間分析] は、次のダッシュボードとカスタムクエリ機能を提供します。

      • [ドメイン間トラフィック]: 異なる CIDR ブロック間のトラフィックパターンを示します。

      • [ECS からドメインへのトラフィック]: ECS インスタンスからさまざまな宛先 CIDR ブロックへのトラフィックを表示します。

      • [脅威インテリジェンス]: 送信元 IP アドレスと宛先 IP アドレスの脅威インテリジェンス情報を提供します。

      • [カスタムクエリ]: VPC フローログをクエリおよび分析できます。

    フローログの開始または停止

    フローログの開始

    現在 [開始されていません] 状態のフローログを開始して、ENI からトラフィックデータの収集を開始できます。

    フローログの停止

    ENI からのトラフィック情報の収集を停止するには、フローログをオフにします。この操作では、フローログは削除されません。[開始されていません] 状態のフローログを再開すると、トラフィックデータの収集が再開されます。フローログを停止すると、ログ生成料金は発生しなくなります。

    よくある質問

    VPC フローログはどのくらいの期間保持できますか?

    VPC フローログは Simple Log Service に自動的に配信され、その保持ポリシーの対象となります。

    • [ログ分析レポートを有効にする] を選択すると、データ保持期間は自動的に 7 日間に設定されます。

    • それ以外の場合、VPC フローログを作成すると、新しく作成されたログストアのデフォルトのデータ保持期間は 300 日です。 Simple Log Service コンソール で既存のログストアのデータ保持期間を確認してください。

    ニーズに応じて、データ保持期間を調整します。

    情報セキュリティの保護分類のネットワークログはどこでクエリできますか?

    VPC では、デフォルトでログ記録は有効になっていません。 ログを記録するには、VPC フローログをオンにする必要があります。これは、ENI のインバウンドトラフィックとアウトバウンドトラフィックの情報を記録し、ネットワークの監視に役立ちます。

    VPC 内の少数の ECS インスタンスのログのみを収集したい場合、フローログをどのように作成すればよいですか?

    フローログを作成するときに、リソースタイプ[ENI] として選択し、ECS インスタンスに関連付けられている ENI ごとに個別のフローログを作成します。

    追加操作

    • フローログを作成した後、アラートを設定して監視できます。 これらのログベースのアラートは、異常トラフィックを迅速に検出し、ネットワークのセキュリティと安定性を向上させるのに役立ちます。 詳細については、「アラート ルールの設定」をご参照ください。

    • フローログは、Alibaba Cloud SDK (推奨)TerraformROS などを使用して、API 呼び出しを通じて管理できます。 API 操作の詳細については、以下を参照してください。