目次
とある日
AWSの勉強用の記録。
よく問題集とかで出る項目だけを調べてまとめるだけ。
VPC フローログ - Amazon Virtual Private Cloud
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは Amazon CloudWatch Logs または Amazon S3 に発行できます。フローログを作成すると、選択した送信先でそのデータを取得して表示できます。
フローログは、以下のような多くのタスクに役立ちます。
フローログデータはネットワークトラフィックのパスの外で収集されるため、ネットワークのスループットやレイテンシーには影響しません。ネットワークパフォーマンスに影響を与えるリスクなしに、フローログを作成または削除できます。
使用可能なフィールド
| フィールド | 説明 |
|---|---|
| version | VPC フローログバージョン。デフォルトの形式を使用する場合、バージョンは 2 です。カスタム形式を使用する場合、そのバージョンは指定されたフィールドの中で最も高いバージョンです。例えば、バージョン 2 のフィールドのみを指定した場合、バージョンは 2 です。バージョン 2、3、4 のフィールドを混在させて指定すると、バージョンは 4 になります。 |
| account-id | トラフィックが記録されるソースネットワークインターフェイスの所有者の AWS アカウント ID。ネットワークインターフェイスが AWS のサービスによって作成された場合 (VPC エンドポイントまたは Network Load Balancer の作成時など)、このフィールドに対してレコードに unknown と表示されることがあります。 |
| interface-id | トラフィックが記録されるネットワークインターフェイスの ID。 |
| srcaddr | 受信トラフィックの送信元アドレスか、ネットワークインターフェイスにおける送信トラフィックのネットワークインターフェイスの IPv4 または IPv6 アドレス。ネットワークインターフェイスの IPv4 アドレスは常にそのプライベート IPv4 アドレスです。「pkt-srcaddr」も参照してください。 |
| dstaddr | 送信トラフィックの送信先アドレスか、ネットワークインターフェイスにおける受信トラフィックのネットワークインターフェイスの IPv4 または IPv6 アドレス。ネットワークインターフェイスの IPv4 アドレスは常にそのプライベート IPv4 アドレスです。「pkt-dstaddr」も参照してください。 |
| srcport | トラフィックの送信元ポート。 |
| dstport | トラフィックの送信先ポート。 |
| protocol | トラフィックの IANA プロトコル番号。詳細については、「割り当てられたインターネットプロトコル番号」を参照してください。 |
| packets | フロー中に転送されたパケットの数。 |
| bytes | フロー中に転送されたバイト数。 |
| start | 集約間隔内にフローの最初のパケットが受信された時間 (UNIX 秒)。これは、パケットがネットワークインターフェイス上で送信または受信されてから最大 60 秒になる場合があります。 |
| end | 集約間隔内にフローの最後のパケットが受信された時間 (UNIX 秒)。これは、パケットがネットワークインターフェイス上で送信または受信されてから最大 60 秒になる場合があります。 |
| action | トラフィックに関連付けられたアクション:ACCEPT — 記録されたトラフィックは、セキュリティグループおよびネットワーク ACL で許可されています。REJECT — 記録されたトラフィックは、セキュリティグループまたはネットワーク ACL で許可されていません。 |
| log-status | フローログのロギングステータス。OK — データは選択された送信先に正常に記録されます。NODATA — 集約間隔内にネットワークインターフェイスとの間で行き来するネットワークトラフィックはありませんでした。SKIPDATA — 集約間隔内に一部のフローログレコードがスキップされました。これは、内部的なキャパシティー制限、または内部エラーが原因である可能性があります。 |
| vpc-id | トラフィックが記録されるネットワークインターフェイスが含まれる VPC の ID。 |
| subnet-id | トラフィックが記録されるネットワークインターフェイスが含まれるサブネットの ID。 |
| instance-id | インスタンスをお客様が所有している場合、トラフィックが記録されるネットワークインターフェイスに関連するインスタンスの ID。リクエスタマネージド型のネットワークインターフェイス (NAT ゲートウェイのネットワークインターフェイスなど) の場合、「-」記号を返します。 |
| tcp-flags | 次の TCP フラグのビットマスク値:SYN — 2SYN-ACK — 18FIN — 1RST — 4ACK は、SYN に付随する場合のみ報告されます。TCP フラグは、集約間隔内に OR 処理することができます。短い接続の場合、フラグがフローログレコードの同じ行に設定されることがあります (例えば、SYN-ACK と FIN の場合は 19、SYN と FIN の場合は 3 など)。例については、「TCP フラグシーケンス」を参照してください。typeトラフィックの種類。指定できる値は次のとおりです: IPv4、IPv6、および EFA。Elastic Fabric Adapter (EFA) の詳細については、「Elastic Fabric Adapter」を参照してください。 |
| pkt-srcaddr | トラフィックのパケットレベルの (元の) 送信元 IP アドレス。srcaddr フィールドとともにこのフィールドを使用し、トラフィックが通過する中間レイヤーの IP アドレスとトラフィックの元の送信元 IP アドレスを区別します。例えば、トラフィックが NAT ゲートウェイのネットワークインターフェイスを通過する場合や、Amazon EKS 内のポッドの IP アドレスが、ポッドが実行されているインスタンスノードのネットワークインターフェイスの IP アドレスとは異なる場合などです (VPC 内の通信の場合)。 |
| pkt-dstaddr | トラフィックのパケットレベルの (元の) 送信先 IP アドレス。dstaddr フィールドとともにこのフィールドを使用し、トラフィックが通過する中間レイヤーの IP アドレスとトラフィックの最終的な送信元 IP アドレスを区別します。例えば、トラフィックが NAT ゲートウェイのネットワークインターフェイスを通過する場合や、Amazon EKS 内のポッドの IP アドレスが、ポッドが実行されているインスタンスノードのネットワークインターフェイスの IP アドレスとは異なる場合などです (VPC 内の通信の場合)。 |
| region | トラフィックが記録されるネットワークインターフェイスが含まれるリージョン。 |
| az-id | トラフィックが記録されるネットワークインターフェイスが含まれるアベイラビリティーゾーンの ID。トラフィックがサブロケーションからの場合、レコードにはこのフィールドに「-」記号が表示されます。 |
| sublocation-type | sublocation-id フィールドに返されるサブロケーションのタイプ。指定可能な値は次のとおりです: wavelength |
| sublocation-id | トラフィックが記録されるネットワークインターフェイスが含まれるサブロケーションの ID。トラフィックがサブロケーションからではない場合、レコードにはこのフィールドに「-」記号が表示されます。 |
| pkt-src-aws-service | pkt-srcaddr フィールド用の IP アドレスの範囲のサブセットの名前 (送信元 IP アドレスが AWS のサービス用の場合)。指定可能な値は次のとおりです:AMAZON |
| pkt-dst-aws-service | pkt-dstaddr フィールド用の IP アドレスの範囲のサブセットの名前 (送信先 IP アドレスが AWS のサービス用の場合)。可能な値の一覧については、pkt-src-aws-service フィールドをご参照ください。 |
| flow-direction | トラフィックがキャプチャされるインターフェイスに対するフローの方向。指定できる値は次のとおりです: ingress |
| traffic-path | 出力トラフィックが送信先につながるパス。トラフィックが出力トラフィックであるかどうかを判断するには、flow-direction フィールドを確認します。指定できる値は次のとおりです。いずれの値も適用されない場合、フィールドは - に設定されます。1 — 同じ VPC 内の別のリソース経由2 — インターネットゲートウェイまたはゲートウェイ VPC エンドポイント経由3 — 仮想プライベートゲートウェイ経由4 — リージョン内 VPC ピア接続経由5 — リージョン間 VPC ピア接続経由6 — ローカルゲートウェイ経由7 — ゲートウェイ VPC エンドポイント経由 (Nitro ベースのインスタンスのみ)8 — インターネットゲートウェイ経由 (Nitro ベースのインスタンスのみ) |
注意点
User-agentなどパケットの中までは見れない。
フローログですべての IP トラフィックはキャプチャされません。以下のトラフィックの種類は記録されません。
- Amazon DNS サーバーに接続したときにインスタンスによって生成されるトラフィック。独自の DNS サーバーを使用する場合は、その DNS サーバーへのすべてのトラフィックが記録されます。
- Amazon Windows ライセンスのアクティベーション用に Windows インスタンスによって生成されたトラフィック。
- インスタンスメタデータ用に
169.254.169.254との間を行き来するトラフィック。- Amazon Time Sync Service の
169.254.169.123との間でやり取りされるトラフィック。- DHCP トラフィック。
- ミラートラフィック。
- デフォルト VPC ルーターの予約済み IP アドレスへのトラフィック。
- エンドポイントのネットワークインターフェイスと Network Load Balancer のネットワークインターフェイスの間のトラフィック。
〆
IP トラフィックに関する情報をキャプチャを目的としている。
