メインコンテンツまでスキップ
Sumo Logic Japanese

Amazon VPC フロー ログ アプリケーションのインストールとダッシュボードの表示

Amazon VPC フロー ログ アプリケーションは、拒否、トラフィック、アクティビティなどへのインサイトを提供するライブ ダッシュボードとインタラクティブ ダッシュボードを提供します。

Sumo Logic アプリケーションのインストール

これで Amazon VPC フロー ログの設定が完了したため、Amazon VPC フロー ログ用 Sumo Logic アプリケーションをインストールし、事前設定済みの検索とダッシュボードを活用してデータを分析できます。 

アプリケーションをインストールするには、次の手順を実行します。

ダッシュボード

Overview (概要)

ダッシュボードの説明: Source アドレスのジオロケーション、MB ごとの上位 10 件の Source と宛先、毎分の拒否数、受け入れられた接続と拒否された接続の詳細など、VPC のネットワーク インターフェイスとの間でやり取りされる IP トラフィックの概要を表示します。

使用事例: このダッシュボードは、ネットワークを流れるトラフィックの概要を表示します。上位の Source アドレスと宛先アドレス、プロトコル、およびネットワーク インターフェイスのリストを提供し、アプリケーションに必要な IP アドレスとプロトコルに範囲を絞り込むのに役立ちます。

VPC-Overivew.png

[Overview (概要)] ダッシュボードのフィルタリング

[Overview (概要)] ダッシュボードの内容は、DestinationIP、SourceIP、action、dest_port、interfaceid、protocol、および src_port を自由に組み合わせてフィルタリングできます。

amazon-vpc-flow-logs-overview-filter.png

Accepts (受け入れ)

ダッシュボードの説明: 受け入れられた接続の Source アドレスのジオロケーション、インターフェイス ID とプロトコル別の上位 10 件の受け入れ、上位 10 件の宛先アドレスなど、受け入れられた接続に関する情報を表示します。

使用事例: このダッシュボードを使用して、セキュリティ グループやネットワーク ACL で許可されているリクエストをトラッキングできます。たとえば、毎分の受信バイト数と受信パケット数を昨日や先週のデータと比較できます。あるいは、異常なアクティビティやボリューム スパイクをトラッキングできます。

amazon-vpc-flow-logs-accepts.png

[Accepts (受け入れ)] ダッシュボードのフィルタリング

フィルタ ペインで、[Accepts by Minute - Outlier (分ごとの受け入れ - 外れ値)] パネルが実行する外れ値分析用に、Consecutive (連続)、Threshold (しきい値)、Window (ウィンドウ)、および Timeslice (タイムスライス) のパラメータを設定できます。 

また、[Accepts (受け入れ)] ダッシュボードの内容を、DestinationIP、SourceIP、dest_port、interfaceid、protocol、および src_port を自由に組み合わせてフィルタリングできます。

amazon-vpc-flow-logs-accepts-filter.png

Rejects (拒否)

ダッシュボードの説明: 拒否された接続の Source アドレスのジオロケーション、インターフェイス ID とプロトコルごとの上位 10 件の拒否、上位 10 件の宛先アドレスなど、拒否された接続に関する情報を表示します。

使用事例: このダッシュボードを使用して、セキュリティ グループやネットワーク ACL で許可されていないリクエストをトラッキングできます。たとえば、毎分の拒否バイト数と拒否パケット数を昨日や先週のデータと比較できます。また、リクエストが拒否された上位の Source IP やポートをモニタリングできます。

VPC-Rejections.png

[Rejects (拒否)] ダッシュボードのフィルタリング

フィルタ ペインで、[Rejects by Minute - Outlier (分ごとの拒否 - 外れ値)] パネルが実行する外れ値分析用に、Consecutive (連続)、Threshold (しきい値)、Window (ウィンドウ)、および Timeslice (タイムスライス) のパラメータを設定できます。

また、[Rejects (拒否)] ダッシュボードの内容を、DestinationIP、SourceIP、dest_port、interfaceid、protocol、および src_port を自由に組み合わせてフィルタリングできます。

amazon-vpc-flow-logs-rejects-filter.png

Traffic (トラフィック)

ダッシュボードの説明: 一意のトラフィック Source と宛先、合計受け入れトラフィックと拒否トラフィック、上位 10 件の Source ポートと宛先ポート、送信バイトと送信パケットの分析など、トラフィックの詳細を表示します。

使用事例の説明: このダッシュボードを使用して、ポート、プロトコル、およびネットワーク インターフェイスに基づいて寛容なトラフィックと寛容でないトラフィックを比較できます。また、ネットワーク上を流れる合計パケット数やバイト数から異常な動作や現在と将来の傾向をモニタリングできます。さらに、寛容なトラフィックと寛容でないトラフィックのデータをアクションによってフィルタリングできます。同様に、interfaceid、src_ip、dest_ip、src_port、dest_port によってトラフィックを分析用にさらにフィルタリングできます。

[Traffic (トラフィック)] ダッシュボードのフィルタリング

フィルタ ペインで、いくつかのパネルが実行する外れ値分析用に、Consecutive (連続)、Threshold (しきい値)、Window (ウィンドウ)、および Timeslice (タイムスライス) のパラメータを設定できます。

また、[Traffic (トラフィック)] ダッシュボードの内容を、DestinationIP、SourceIP、action、dest_port、interfaceid、protocol、および src_port を自由に組み合わせてフィルタリングできます。

amazon-vpc-flow-logs-traffic-filter.png

Security Groups (セキュリティ グループ)

ダッシュボードの説明: 上位 VPC、バイト フロー別のサブネット、パケット別の上位 5 件のセキュリティ グループ、一意 VPC の数、サブネットおよびセキュリティ グループ、セキュリティ グループ別の宛先ポート分布など、セキュリティ グループ、サブネット、および VPC やフロー方向 (インバウンド/アウトバウンド) の情報を表示します。

このダッシュボードに関する主要な事実:

  • CloudFormation テンプレートをデプロイしている場合は、[LogFormat] フィールドで [VPC-JSON] オプションを選択している場合にのみ、このダッシュボードにデータが供給されます。
  • ネットワーク インターフェイスで複数の IPv4 アドレスを使用していて、トラフィックがセカンダリ プライベート IPv4 アドレスに送信されている場合、フロー ログの転送先 IP アドレス フィールドにはプライマリ プライベート IPv4 アドレスが表示されます。
  • [Direction (方向)] フィールドには 3 つの値のいずれかが入ります。
    • internal (内部)。SourceIP と DestinationIP の両方が同じサブネットにあります。
    • inbound (インバウンド)。DestinationIP は ENI のプライベート IP アドレスと同じです。
    • outbound (アウトバウンド)。SourceIP は ENI のプライベート IP アドレスと同じです。 

使用事例:  このダッシュボードでは、トラフィックの方向をモニタリングできます。また、このダッシュボードでは、過度に寛容なセキュリティ グループと過度に厳しいセキュリティ グループを特定することもできます。さらに、セキュリティ グループに関連したトラフィックを EC2 コンソールのセキュリティ グループ ルールと比較することで、未使用のセキュリティ グループとインバウンド ルールを特定できます。

amazon-vpc-flow-logs-security-groups.png

[Security Groups (セキュリティ グループ)] ダッシュボードのフィルタリング

フィルタ ペインで、いくつかのパネルが実行する外れ値分析用に、Consecutive (連続)、Threshold (しきい値)、Window (ウィンドウ)、および Timeslice (タイムスライス) のパラメータを設定できます。

また、[Security Groups (セキュリティ グループ)] ダッシュボードの内容を、DestinationIP、SourceIP、action、dest_port、interfaceid、protocol、security_grp_id、src_port、subnet_id、および vpc_id を自由に組み合わせてフィルタリングできます。

amazon-vpc-flow-logs-security-groups-filter.png

 

  • この記事は役に立ちましたか?