「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
フローログレコードの例
特定のトラフィックフローをキャプチャするフローログレコードの例を以下に示します。
フローログレコード形式の詳細については、「フローログレコード」を参照してください。
フローログの作成方法については、「フローログを使用する」を参照してください。
目次
許可されたトラフィックと拒否されたトラフィック
デフォルトフローログレコードの例を以下に示します。
この例では、アカウント 123456789010
のネットワークインターフェイス eni-1235b8ca123456789
への SSH トラフィック (宛先ポート 22、TCP プロトコル) が許可されています。
2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
この例では、アカウント 123456789010
のネットワークインターフェイス eni-1235b8ca123456789
への RDP トラフィック (宛先ポート 3389、TCP プロトコル) が拒否されています。
2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
データなしおよびスキップされたレコード
デフォルトフローログレコードの例を以下に示します。
この例では、集約間隔内にデータは記録されませんでした。
2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA
この例では、集約間隔内にレコードがスキップされました。
2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
セキュリティグループとネットワーク ACL ルール
フローログを使用して過度に制限されているか制限のないセキュリティグループルールまたはネットワーク ACL ルールを診断している場合は、これらのリソースのステートフルさに注意してください。セキュリティグループはステートフルです。つまり、セキュリティグループのルールで許可されていない場合でも、許可されたトラフィックへの応答も許可されます。逆に、ネットワーク ACL はステートレスです。したがって、許可されたトラフィックへの応答は、ネットワーク ACL ルールに従って行われます。
たとえば、ホームコンピュータ (IP アドレスが 203.0.113.12
) からインスタンス (ネットワークインターフェイスのプライベート IP アドレスが 172.31.16.139
) へは、ping
コマンドを使用します。セキュリティルールのインバウンドルールでは ICMP トラフィックが許可されますが、アウトバウンドルールでは ICMP トラフィックが許可されません。セキュリティグループがステートフルの場合、インスタンスからのレスポンス
ping が許可されます。ネットワーク ACL でインバウンド ICMP トラフィックが許可されますが、アウトバウンド ICMP トラフィックは許可されません。ネットワーク
ACL はステートレスであるため、ping 応答は削除され、ホームコンピュータに達しません。デフォルトフローログで、これは 2 つのフローログレコードとして表示されます。
-
ネットワーク ACL とセキュリティグループの両方で許可され、したがってインスタンスへの到達を許可された発信元の ping の
ACCEPT
レコード。 -
ネットワーク ACL で拒否された応答 ping の
REJECT
レコード。
2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
ネットワーク ACL でアウトバウンド ICMP トラフィックを許可している場合、フローログには 2 つの ACCEPT
レコード (1 つは発信元の ping、もう 1 つは応答 ping) が表示されます。セキュリティグループがインバウンド ICMP トラフィックを拒否する場合、トラフィックに対してインスタンスへの到達が許可されなかったため、フローログには
1 つの REJECT
レコードが表示されます。
IPv6 トラフィック
デフォルトフローログレコードの例を以下に示します。この例では、IPv6 アドレス 2001:db8:1234:a100:8d6e:3477:df66:f105
から、アカウント 123456789010
のネットワークインターフェイス eni-1235b8ca123456789
への SSH トラフィック (宛先ポート 22) が許可されています。
2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
TCP フラグシーケンス
次のフィールドを次の順序でキャプチャするカスタムフローログの例を以下に示します。
version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status
tcp-flags
フィールドは、トラフィックの方向 (接続を開始したサーバーなど) を識別するのに役立ちます。次のレコード (午後 7:47:55 PM に開始して午後 7:48:53
に終了) では、ポート 5001 で実行されているサーバーに対する接続がクライアントにより開始されています。クライアントの異なるソースポート (43416
および 43418
) から送信された 2 つの SYN フラグ (2
) をサーバーが受け取っています。SYN ごとに、サーバーからクライアントの対応するポートに SYN-ACK が送信されています (18
)。
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK
2 つ目の集約間隔では、前のフローで確立された接続の 1 つが閉じられます。クライアントは、ポート 43418
での接続に対してサーバーに FIN フラグ (1
) を送信しています。サーバーは、クライアントのポート 43418
に FIN を送信しています。
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK 3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK
単一の集約間隔内で開かれて閉じられた短い接続の場合 (数秒など)、同じ方向のトラフィックフローに関して、フローログレコードの同じ行にフラグが設定されることがあります。次の例では、同じ集約間隔内で接続が確立および終了されています。1
行目では、TCP フラグ値が 3
です。これは、SYN と FIN メッセージがクライアントからサーバーに送信されたことを示しています。2 行目では、TCP フラグ値が 19
です。これは、SYN-ACK と FIN メッセージがサーバーからクライアントに送信されたことを示しています。
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK
NAT ゲートウェイ経由のトラフィック
この例では、プライベートサブネットのインスタンスが、パブリックサブネットにある NAT ゲートウェイ経由でインターネットに接続しています。

NAT ゲートウェイネットワークインターフェイスの次のカスタムフローログでは、次のフィールドが次の順序でキャプチャされています。
instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
フローログには、インスタンス IP アドレス (10.0.1.5) から NAT ゲートウェイネットワークインターフェイス経由でインターネット上のホスト (203.0.113.5)
に送信されるトラフィックのフローを示しています。NAT ゲートウェイネットワークインターフェイスは、リクエスタが管理するネットワークインターフェイスのため、フローログレコードの
instance-id
フィールドには「-」記号が表示されます。次の行は、送信元インスタンスから NAT ゲートウェイネットワークインターフェイスへのトラフィックを示しています。dstaddr
フィールドと pkt-dstaddr
フィールドの値は異なります。dstaddr
フィールドには、NAT ゲートウェイネットワークインターフェイスのプライベート IP アドレスが表示されており、pkt-dstaddr
フィールドにはインターネット上のホストの最終的な送信先 IP アドレスが表示されています。
- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5
次の 2 行は、NAT ゲートウェイトラフィックインターフェイスからインターネット上の送信先ホストへのトラフィックと、ホストから NAT ゲートウェイネットワークインターフェイスへのレスポンストラフィックを示しています。
- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220
次の行は、NAT ゲートウェイネットワークインターフェイスから送信元インスタンスへのトラフィックを示しています。srcaddr
フィールドと pkt-srcaddr
フィールドの値は異なります。srcaddr
フィールドには、NAT ゲートウェイネットワークインターフェイスのプライベート IP アドレスが表示されており、pkt-srcaddr
フィールドにはインターネット上のホストの IP アドレスが表示されています。
- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5
上記と同じフィールドセットを使用して別のカスタムフローログを作成できます。プライベートサブネット内のインスタンスのネットワークインターフェイスのフローログを作成します。この場合、instance-id
フィールドはネットワークインターフェイスに関連するインスタンスの ID を返し、dstaddr
および pkt-dstaddr
フィールドと srcaddr
および pkt-srcaddr
フィールドの間に差異はありません。NAT ゲートウェイのネットワークインターフェイスとは異なり、このネットワークインターフェイスはトラフィックの中間ネットワークではありません。
i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
転送ゲートウェイ経由のトラフィック
この例では、VPC A 内のクライアントがトランジットゲートウェイ経由で VPC B 内のウェブサーバーに接続します。クライアントとサーバーは、異なるアベイラビリティーゾーンにあります。したがって、eni-11111111111111111
を使用するとトラフィックは VPC B 内のサーバーで受信され、eni-22222222222222222
を使用すると VPC B から送信されます。

VPC B のカスタムフローログは、次の形式で作成できます。
version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status
フローログレコードの次の行は、ウェブサーバーのネットワークインターフェイスにあるトラフィックのフローを示しています。1 行目は、クライアントからのリクエストトラフィックであり、最後の行はウェブサーバーからのレスポンストラフィックです。
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
次の行は eni-11111111111111111
(サブネット subnet-11111111aaaaaaaaa
にあるトランジットゲートウェイのリクエスタマネージド型のネットワークインターフェイス) 上のリクエストトラフィックです。したがって、フローログレコードの instance-id
フィールドには「-」記号が表示されます。srcaddr
フィールドには、トランジットゲートウェイネットワークインターフェイスのプライベート IP アドレスが表示されており、pkt-srcaddr
フィールドには VPC A 上のクライアントの送信元 IP アドレスが表示されています。
3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
次の行は eni-22222222222222222
(サブネット subnet-22222222bbbbbbbbb
にあるトランジットゲートウェイのリクエスタマネージド型のネットワークインターフェイス) 上のレスポンストラフィックです。dstaddr
フィールドには、トランジットゲートウェイネットワークインターフェイスのプライベート IP アドレスが表示されており、pkt-dstaddr
フィールドには VPC A 上のクライアントの IP アドレスが表示されています。
3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK