みなさん、こんばんは。サニービュー事業部の小寺です。
9月のアップデートで直接、Amazon Virtual Private Cloud (VPC) フローログが Amazon Kinesis Firehoseに配信できるようになりました。
今さら聞けない!?VPCフローログって
オフィシャルサイトを確認してみます。
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
フローログは、以下のような多くのタスクに役立ちます。
・制限の過度に厳しいセキュリティグループルールを診断する
・インスタンスに到達するトラフィックをモニタリングする
・ネットワークインターフェイスに出入りするトラフィックの方向を決定する
フローログデータはネットワークトラフィックのパスの外で収集されるため、ネットワークのスループットやレイテンシーには影響しません。ネットワークパフォーマンスに影響を与えるリスクなしに、フローログを作成または削除できます。
また他の AWS サービスによって作成されたネットワークインターフェイスのフローログを作成できます。例えば、以下が該当します。
- Elastic Load Balancing
- Amazon RDS
- Amazon ElastiCache
- Amazon Redshift
- Amazon WorkSpaces
- NAT ゲートウェイ
- トランジットゲートウェイ
デフォルトでログが取得できるのは、10分間隔となっています。ただ、ログを有効化しておいて、トラブルシューティングを行うのは、もちろん推奨事項ではありますが、当然のことながら、フローログの取得にも課金が発生します。 S3やCloudWatchログに対するデータの取り込み料金とアーカイブ料金が適用されます 。
今までのVPCフローログの配信方法
本アップデートが発表される前は、 VPC フローログを Amazon CloudWatch Logs および Amazon Simple Storage Service (S3) に 配信することができました。S3に保存されるVPCフローログを、Athenaで検索して使っていた方もいらっしゃるかと思います。
今回のアップデートのメリット
今回のアップデートのメリットはやはり「リアルタイム性」でしょう。 Amazon Kinesis Firehoseでサポートされている送信先にフローログをリアルタイムでストリーミングできるようになりました。今までのCloudWatch LogsやS3ではログを蓄積しておく、といった観点では良いのですが、リアルタイムに確認はできません。
さらに、 Amazon KinesisでAWS Lambda 関数を使えば、VPC フローログの ソースレコードを変換やレコード形式の転換も対応ができます。
早速、VPCフローログをAmazon Kinesis Streamに配信してみる
(1) 新しいフローログを作成します。
(2) 送信先として Amazon Kinesis Firehoseを選ぶことができます。別のAWSアカウントの Amazon Kinesis Firehose も選ぶことができます。
(3) 今回は同じアカウント内のKinesis Firehoseに送付することにしました。
送信先の設定としては、以上でとても簡単にできます。
対応リージョン
・米国東部 (オハイオ)
・米国東部 (バージニア北部)
・米国西部 (北カルフォルニア)
・米国西部 (オレゴン)
・アフリカ (ケープタウン)
・アジアパシフィック (香港)
・アジアパシフィック (ジャカルタ)
・アジアパシフィック (ムンバイ)
・アジアパシフィック (大阪)
・アジアパシフィック (ソウル)
・アジアパシフィック (シンガポール)
・アジアパシフィック (シドニー)
・アジアパシフィック (東京)
・カナダ (中部)
・欧州 (フランクフルト)
・欧州 (アイルランド)
・欧州 (ロンドン)
・欧州 (ミラノ)
・欧州 (パリ)
・欧州 (ストックホルム)
・南米 (サンパウロ)
・中東 (バーレーン)
・AWS GovCloud (米国東部)
・AWS GovCloud (米国西部)