メインコンテンツまでスキップ
Sumo Logic Japanese

AWS S3 ソースを使用した Amazon VPC フロー ログの収集

AWS S3 ソースを使用して Amazon VPC フロー ログを収集する方法です。

このページでは、AWS S3 ソースを使用して Amazon VPC フロー ログを収集する方法を説明します。CloudFormation テンプレートを使用して VPC ログを収集する場合は、「CloudFormation テンプレートを使用した Amazon VPC フロー ログの収集」を参照してください。

ステップ 1: Amazon VPC フロー ログの有効化 

  1. 既存の S3 バケットを使用するか、または AWS ヘルプの「Create a S3 bucket (S3 バケットの作成)」の説明に従って新しいバケットを作成できます。
  2. VPC、サブネット、またはネットワーク インターフェイスのフロー ログを作成します。手順については、AWS ヘルプの「Creating a Flow Log that Publishes to Amazon S3 (Amazon S3 に公開するフロー ログの作成)」を参照してください。
  3. ログが S3 バケットに転送されることを確認します。ログ ファイルは、次のフォルダ構造でバケットに保存されます。
    bucket_ARN/optional_folder/AWSLogs/aws_account_id/vpcflowlogs/region/year/month/day/log_file_name.log.gz

ステップ 2: AWS S3 ソースの設定 

  1. AWS S3 バケットへのアクセス権を付与します
  2. AWS マネジメント コンソールを使用してログを有効にします
  3. AWS ソースを作成したら、ホスト型コレクタに関連付けます。ソースを作成する前に、使用するホスト型コレクタを指定するか、新しいホスト型コレクタを作成します。この手順については、「ホスト型コレクタを設定する」を参照してください。
  4. S3 ソースの AWS ソースを Sumo Logic に追加します。S3 ソースを設定する際は:
    1. [Advanced Options for Logs (ログの詳細オプション)] セクションの [Detect messages spanning multiple lines (複数行メッセージの検出)] オプションをオフにしてください。
    2. [Processing Rules for Logs (ログの処理ルール)] セクションに [Exclude messages that match (一致するメッセージの除外)] 処理ルールを追加して、次のファイル ヘッダ行を無視するように設定します。
      version account-id interface-id srcaddr dstaddr srcport dstport protocol packets bytes start end action log-status
      vpc-exclude-rule.png