[トップページ] [FAQ 一覧]

対象:VPCフローログ

VPCのフローログ設定でCloudwatch Log へ送信する場合の注意事項




VPC フローログをCloudWatch Log へ送信


このページではVPCフローログを Clougwatch Log へ送信する方法を紹介します。
具体的な手順は次のページを参考にしてください。分かりやすいと思われます。

CloudWatch Logs へのフローログの発行
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html

VPC Flowログ


VPC フローログはVPC全体のパケットを取得するように感じるかもしれませんが、実際には指定したネットワークインターフェースのログを取得します。
よって設定はEC2のネットワークインターフェースから設定します。

(1)[EC2] - [ネットワーク & セキュリティ] - [ネットワークインターフェース] で eni-********を選択。
(2)[アクション] より [フローログの作成] で VPC Flow Log を作成する。

次のような設定が可能です。

VPC Flow log のCloudwatch Log の転送



(1)フィルター
キャプチャするトラフィックのタイプ (許可されたトラフィックのみ、拒否されたトラフィックのみ、またはすべてのトラフィック)。

許可/拒否/すべて

(2)最大集計間隔情報
パケットのフローがキャプチャされ、フローログレコードに集約される最大時間。
10 分/1 分

(3)送信先
フローログデータの発行先。
CloudWatch Logsに送信/S3 バケットに送信/同じアカウントの Kinesis Firehose に送信/別のアカウントの Kinesis Firehose に送信

(4)送信先ロググループ

(5)IAM ロール
(*)事前での作成が必要。サンプルがあるので簡単。

参考:CloudWatch Logs へのフローログ発行のための IAM ロール
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html

(6)ログレコードの形式
フローログレコードに含めるフィールド

AWS のデフォルト形式/カスタム形式


Roleの作成




ネットワークインターフェースから Cloudlog Watch へログを送信するには Role必要です。 



CloudWatch Logs の指定されたロググループにフローログを発行するための十分なアクセス許可があるフローログに IAM ロールを関連付ける必要があります。


以下ページで必要なロールが紹介されています。そのまま利用すればよいでしょう。


参考:CloudWatch Logs へのフローログ発行のための IAM ロール
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html 



{

  "Version": "2012-10-17",

  "Statement": [

    {

      "Effect": "Allow",

      "Action": [

        "logs:CreateLogGroup",

        "logs:CreateLogStream",

        "logs:PutLogEvents",

        "logs:DescribeLogGroups",

        "logs:DescribeLogStreams"

      ],

      "Resource": "*"

    }

  ]

}


【超重要】本ページは情報が古くなっている可能性があります。参考程度にしてください。








[ 一覧に戻る]

【注意事項】本ページの内容は個人的に調査した結果がであり内容が正しいことは保証されません。
またAWSサービスは常に改良、アップデートされており本ページの内容が古く誤った内容になる可能性もあります。変更になっても本ページが正しく更新されるとは限りません。
あくまでも参考程度でご覧ください。内容により発生したいかなる時間的損害、金銭的損害、その他の損害に関しても何人も保証しません。