フローログを使用する - Amazon Virtual Private Cloud

フローログを使用する

Amazon EC2、Amazon VPC、CloudWatch、および Amazon S3 コンソールを使用して、フローログを操作できます。

フローログの使用の管理

デフォルトでは、IAM ユーザーにはフローログを使用するためのアクセス許可がありません。フローログを作成、説明、削除するアクセス権限をユーザーに付与する IAM ユーザーポリシーを作成できます。詳細については、Amazon EC2 API Referenceの「IAM ユーザーへの、Amazon EC2 リソースに対するアクセス許可の付与」を参照してください。

フローログを作成、説明、削除する完全なアクセス許可をユーザーに付与するポリシー例を次に示します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

発行先が CloudWatch Logs であるか Amazon S3 であるかにより、追加の IAM ロールとアクセス権限の設定が必要になります。詳細については、「CloudWatch Logs へのフローログの発行」および「Amazon S3 へのフローログの発行」を参照してください。

フローログの作成

VPCs、サブネット、またはネットワークインターフェイスのフローログを作成できます。フローログはデータを CloudWatch Logs または Amazon S3 に発行できます。

詳細については、「CloudWatch Logs に発行するフローログの作成」および「Amazon S3 に発行するフローログの作成」を参照してください。

フローログの表示

Amazon EC2 および Amazon VPC コンソールでフローログに関する情報を表示するには、特定のリソースの [Flow Logs] タブを表示します。リソースを選択すると、そのリソースのすべてのフローログが表示されます。表示される情報には、フローログの ID、フローログの設定、およびフローログのステータスに関する情報が含まれます。

ネットワークインターフェイスのフローログに関する情報を表示するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Network Interfaces] を選択します。

  3. ネットワークインターフェイスを選択し、[フローログ] を選択します。フローログに関する情報がタブに表示されます。[送信先タイプ] 列は、フローログを発行する送信先を示します。

VPC またはサブネットのフローログに関する情報を表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[VPC] または [サブネット] を選択します。

  3. VPC またはサブネットを選択し、[フローログ] を選択します。フローログに関する情報がタブに表示されます。[送信先タイプ] 列は、フローログを発行する送信先を示します。

フローログのタグの追加または削除

Amazon EC2 および Amazon VPC コンソールで、フローログのタグを追加または削除できます。

ネットワークインターフェイスのフローログのタグを追加または削除するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Network Interfaces] を選択します。

  3. ネットワークインターフェイスを選択し、[フローログ] を選択します。

  4. 必要なフローログの [Manage tags (タグの管理)] を選択します。

  5. 新しいタグを追加するには、[Create Tag] を選択します。タグを削除するには、削除アイコンを選択します (x)。

  6. [保存] を選択します。

VPC またはサブネットのフローログのタグを追加または削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[VPC] または [サブネット] を選択します。

  3. VPC またはサブネットを選択し、[フローログ] を選択します。

  4. フローログを選択し、[Actions (アクション)]、[Add/Edit Tags (タグの追加/編集)] の順に選択します。

  5. 新しいタグを追加するには、[Create Tag] を選択します。タグを削除するには、削除アイコンを選択します (x)。

  6. [保存] を選択します。

フローログレコードの表示

選択した送信先タイプに応じて、CloudWatch Logs コンソールまたは Amazon S3 コンソールを使用して、フローログレコードを表示できます。フローログを作成してからコンソールに表示されるまでに、数分かかる場合があります。

CloudWatch Logs に対して発行されたフローログレコードを表示するには

  1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。

  2. ナビゲーションペインで、[ログ] を選択し、フローログを含むロググループを選択します。各ネットワークインターフェイス用のログストリームのリストが表示されます。

  3. フローログレコードを表示するネットワークインターフェイスの ID を含むログストリームを選択します。詳細については、「フローログレコード」を参照してください。

Amazon S3 に対して発行されたフローログレコードを表示するには

  1. https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。

  2. [バケット名] で、フローログを発行するバケットを選択します。

  3. [名前] で、ログファイルの横にあるチェックボックスを選択します。オブジェクトの概要パネルで、[ダウンロード] を選択します。

フローログレコードの検索

CloudWatch Logs コンソールを使用して、CloudWatch Logs に発行されたフローログレコードを検索できます。メトリクスフィルターを使用すると、フローログレコードをフィルタリングできます。フローログレコードはスペースで区切られます。

CloudWatch Logs コンソールを使用してフローログレコードを検索するには

  1. https://console.aws.amazon.com/cloudwatch/ にある CloudWatch コンソールを開きます。

  2. ナビゲーションペインで、[ロググループ] を選択し、フローログを含むロググループを選択します。各ネットワークインターフェイス用のログストリームのリストが表示されます。

  3. 検索するネットワークインターフェイスがわかっている場合は、個々のログストリームを選択します。または、[ロググループの検索] を選択して、ロググループ全体を検索します。ロググループに多数のネットワークインターフェイスがある場合、または選択した時間範囲によっては、この処理に時間がかかる場合があります。

  4. [イベントをフィルター] で、次の文字列を入力します。これは、フローログレコードで デフォルトの形式が使用されていることを前提としています。

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
  5. 必要に応じてフィールドの値を指定して、フィルタを変更します。次の例では、特定の送信元 IP アドレスでフィルタリングします。

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    次の例では、宛先ポート、バイト数、およびトラフィックが拒否されたかどうかでフィルタリングします。

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

フローログの削除

Amazon EC2 と Amazon VPC コンソールを使用して、フローログを削除できます。

注記

これらの手順では、リソースのフローログサービスが無効になります。フローログを削除しても、既存のログストリームは CloudWatch Logs から削除されず、ログファイルは Amazon S3 から削除されません。既存のフローログデータは、それぞれのサービスのコンソールを使用して削除する必要があります。さらに、Amazon S3 に公開するフローログを削除しても、バケットポリシーとログファイルのアクセスコントロールリスト (ACL) は削除されません。

ネットワークインターフェイスのフローログを削除するには

  1. https://console.aws.amazon.com/ec2/ で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで [Network Interfaces] を選択してから、ネットワークインターフェイスを選択します。

  3. [フローログ] を選択し、削除するフローログの削除ボタン (X) を選択します。

  4. 確認ダイアログボックスで、[Yes, Delete] を選択します。

VPC またはサブネットのフローログを削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [VPC] または [サブネット] を選択してから、リソースを選択します。

  3. [フローログ] を選択し、削除するフローログの削除ボタン (X) を選択します。

  4. 確認ダイアログボックスで、[Yes, Delete] を選択します。

API と CLI の概要

このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンドラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC へのアクセス」を参照してください。

フローログの作成

フローログの説明

フローログレコード(ログイベント)の表示

フローログの削除