すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:フローログ

最終更新日:Dec 05, 2024

仮想プライベートクラウド (VPC) は、elastic network interface (ENI) の受信および送信トラフィックを記録するフローログを提供します。 この機能を使用して、アクセス制御リスト (ACL) ルールのチェック、ネットワークトラフィックの監視、およびネットワークエラーのトラブルシューティングを行うことができます。

概要

フローログ

特定のENI、VPC、またはvSwitchのフローログを作成できます。 VPCまたはvSwitchのフローログは、フローログが有効化された後に追加されたENIを含む、ENIのすべてのトラフィックをキャプチャします。

image

フローログエントリ

フローログによってキャプチャされたトラフィック情報は、フローログエントリとしてSimple Log Serviceに保存されます。 各ログは、キャプチャウィンドウと呼ばれる特定のウィンドウ内のトラフィックフローの5タプルを記録します。 デフォルトのウィンドウは10分ですが、1分または5分に調整できます。 キャプチャウィンドウ内で、フローのトラフィック情報がキャプチャされ、フローログエントリに集約されます。

特定のシナリオでキャプチャされるトラフィックを設定できます。 利用可能なオプションには、すべてのトラフィック、IPv4ゲートウェイを介したトラフィック、NATゲートウェイを介したトラフィック、VPNゲートウェイを介したトラフィック、トランジットルーターを介したトラフィック、ゲートウェイエンドポイントを介してクラウドサービスにアクセスするトラフィック、VBRを介してエクスプレスコネクト回路にアクセスするトラフィック、エクスプレスコネクトルーター (ECR) およびゲートウェイロードバランサーエンドポイントを介したトラフィック。

フローログエントリのフィールド

次の表は、フローログレコードのフィールドの概要です。

項目

説明

version

フローログのバージョン。

account-id

Alibaba Cloud アカウント ID。

eni-id

ENI ID。

vm-id

ENIに関連付けられているElastic Compute Service (ECS) インスタンスのID。

vswitch-id

ENIが属するvSwitchのID。

vpc-id

ENIが属するVPCのID。

type

トラフィックのタイプ。 IPv4トラフィックがサポートされています。

protocol

トラフィックのInternet Assigned Numbers Authority (IANA) プロトコル。

詳細については、「インターネットプロトコル番号」をご参照ください。

srcaddr

送信元 IP アドレス。

srcport

送信元ポート。

dstaddr

送信先 IP アドレス。

dstport

宛先ポート。

direction

トラフィックの方向。 有効な値:

  • in: インバウンドトラフィック。

  • out: 送信トラフィック。

action

トラフィックに対して実行できるアクション。 有効な値:

  • ACCEPT: セキュリティグループまたはACLによってトラフィックフローが許可されました。

  • REJECT: セキュリティグループまたはACLによってトラフィックフローが拒否されました。

packets

データパケットの数。

bytes

データパケットのサイズ。

start

キャプチャウィンドウの開始時間。

end

キャプチャウィンドウの終了時刻。

tcpフラグ

TCPフラグと対応するマスク:

  • SYN: 2

  • SYN、ACK: 18

  • RST: 4

  • PSH: 8

  • URG: 32

  • フィン: 1

SYN、FIN、ACK、RSTの意味など、TCPフラグの詳細については、「RFC 793」をご参照ください。

log-status

フローログのステータス:

  • OK: データ記録は期待どおりに実行されています。

  • NODATA: キャプチャウィンドウ内にネットワークトラフィックが記録されていません。 これは、スタンバイシステム、オフピークの営業時間中、またはトラフィックの生成を妨げる構成の問題が原因で発生する可能性があります。

  • SKIPDATA: 一部のフローログレコードがスキップされました。これは、トラフィックの増加やトラフィックの急増の状況でよく発生します。 これは、システムの過負荷につながり、記録を見逃すことになる。

traffic_path

トラフィックのサンプリングパス:

  • 6-ゲートウェイエンドポイントを介してクラウドサービスに。

  • 7-NATゲートウェイを介して。

  • 8-トランジットルーターを介して。

  • 9-VPNゲートウェイを介して。

  • 10 − 仮想ボーダールータ (VBR) を介してExpress Connect回路に接続する。

  • 11-Cloud Enterprise Network (CEN) Basic Editionを介して、同じリージョンのVPCへ。

  • 12-CENベーシックエディションを通じて。 これには、CEN Basic Editionを経由してクロスリージョンクラウドサービスまたはcloud Connect Network (CCN) へのトラフィックなど、11、18、19、および20のシナリオは含まれません。

  • 13 − インターネットへのIPv4ゲートウェイを介して。

  • 18-CEN Basic Editionを介して別のリージョンのVPCに接続します。

  • 19-CEN Basic Editionを使用して、同じリージョンのVBRに接続します。

  • 20-CEN Basic Editionを介して、異なるリージョンのVBR。

  • 21 − エクスプレス接続ルータ (ECR) を介して。

  • 22-Gateway Load Balancerエンドポイントを介して。

フローログ入力の例

フローログの形式は次のとおりです。

<account-id> <action> <bytes> <direction> <dstaddr> <dstport> <end> <eni-id> <log-status> <packets> <protocol> <srcaddr> <srcport> <start> <tcp-flags> <traffic_path> <type> <version> <vm-id> <vpc-id> <vswitch-id>

通常記録される、受け入れられるトラフィック

この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp166tg9uk1ryf ****** は、2024年7月12日の17:10:20から17:11:20まで、次のアウトバウンドトラフィックを許可しました。

送信元アドレス172.31.16.139とポート1332は、TCPを介して宛先アドレス172.31.16.21とポート80に10個のパケットを送信しました。6はTCPを示し、合計パケットサイズは2,048バイトです。 フローログエントリのステータスはOKで、例外は発生していません。

1210123456****** ACCEPT 2048 out 172.31.16.21 80 1720775480 eni-bp166tg9uk1ryf****** OK 10 6 172.31.16.139 1332 1720775420 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******

通常記録され、トラフィックは拒否されました

この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp1ftp5sm9oszt ****** は、2024年7月15日の10:20:00から10:30:00までの次のインバウンドトラフィックを拒否しました。

送信元アドレス172.31.16.139およびポート1332は、TCPを介して宛先アドレス172.31.16.21およびポート80に20個のパケットを送信しました。6はTCPを示し、合計パケットサイズは4,208バイトです。 フローログエントリのステータスはOKで、例外は発生していません。

1210123456****** REJECT 4208 in 172.31.16.21 80 1721010600 eni-bp1ftp5sm9oszt****** OK 20 6 172.31.16.139 1332 1721010000 22 - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk******     

データなし

この例では、Alibaba CloudアカウントIDは1210123456 ****** で、VPCフローログバージョンは1です。 2024年7月15日の10:52:20から10:55:20までENI eni-bp1j7mmp34jlve ****** にトラフィックデータ (ステータスNODATA) は記録されませんでした。

1210123456****** - - - - - 1721012120 eni-bp1j7mmp34jlve****** NODATA - - - - 1721011940 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 

スキップされたデータ

この例では、Alibaba Cloudアカウントは1210123456 ****** で、VPCフローログバージョンは1です。 ENI eni-bp1dfm4xnlpruv ****** のデータレコードは、2024年7月12日の16:20:30から16:23:30までスキップされました (ステータスSKIPDATA) 。

1210123456****** - - - - - 1720772610 eni-bp1dfm4xnlpruv****** SKIPDATA - - - - 1720772430 - - - 1 - vpc-bp1qf0c43jb3maz****** vsw-bp12632woke7abk****** 

課金

フローログ課金の詳細については、「課金」をご参照ください。

制限事項

機能制限

フローログ機能を初めて使用する場合は、[フローログ] ページで 今すぐ有効化 をクリックします。

説明

今すぐ有効化 をクリックすると、作成したフローログインスタンスがフローログページに再表示されます。

サポート対象リージョン

エリア

リージョン

アジア太平洋

中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (ウランカブ)中国 (深セン)中国 (河源)中国 (広州)中国 (成都)中国 (香港)中国 (福州-地方地域)日本 (東京)韓国 (ソウル)シンガポールマレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)タイ (バンコク)

ヨーロッパおよびアメリカ

ドイツ (フランクフルト)英国 (ロンドン)米国 (シリコンバレー)米国 (バージニア)

中東

UAE (ドバイ) およびSAU (リヤド-パートナー地域)

重要

SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。

制限事項

名前 /ID

説明

デフォルト値

調整可能

vpc_quota_flowlog_inst_nums_per_ユーザー

各アカウントで作成できるフローログの最大数

10

次の操作を実行して、クォータを増やすことができます。

フローログの管理

  1. VPCコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > [フローログ] を選択します。 上部のメニューバーで、フローログを作成するリージョンを選択します。

要件に基づいて、次の操作を続行できます。

フローログの作成または削除

フローログの作成

説明

フローログを作成する前に、次の前提条件が満たされていることを確認します。

  • この機能を使用したことがない場合は、[今すぐ権限付与] および [権限付与ポリシーの確認] をクリックします。 フローログをSimple log Serviceにインポートするには、権限付与が必要です。

  • 簡易ログサービス製品ページでSimple Log Serviceが有効化されました。

  • ログ収集用のリソースが作成されました。 ENIVPC、またはvSwitchを指定してログを収集できます。

フローログ ページで、フローログの作成 をクリックします。 フローログの作成 ダイアログボックスで、次のパラメーターを設定します。

  • リソースタイプ: トラフィックを収集するリソースタイプを選択します。 有効な値: VPCvSwitchENI

    説明

    ENIにインバウンドトラフィックまたはアウトバウンドトラフィックがある場合、フローログ ページに移動し、[操作] 列の [ENIコレクションスコープの表示] をクリックして収集データを表示できます。

  • リソースインスタンス: トラフィックを収集するリソースインスタンスを選択します。

  • データ転送タイプ: 収集するトラフィックのタイプを選択します。 有効な値: [すべてのトラフィック][許可されたトラフィック][拒否されたトラフィック]

  • IPバージョン: トラフィック収集用のIPアドレスのタイプを選択します。 現在、IPv4のみがサポートされています。

  • プロジェクト: [プロジェクトの作成] または [プロジェクトの選択] を選択して、収集したトラフィックを保存できます。

  • Logstore: [Logstoreの作成] または [Logstoreの選択] を選択して、収集したトラフィックを保存できます。

  • FlowLog レポート分析機能の有効化: この機能はインデックス作成を有効にし、ログストアのダッシュボードを作成します。 これにより、SQL文を実行し、データ分析を視覚化できます。

    Log Serviceのインデックス作成はデータ使用量に基づいて課金されますが、ダッシュボードは追加料金なしで提供されます。 詳細については、「課金項目」をご参照ください。

  • サンプリング間隔 (分): サンプリング間隔を指定します。 使用可能な間隔は1、5、10分で、デフォルトは10分に設定されています。

    説明

    フローログが作成されたら、フローログページと選択編集の下で サンプリング間隔 (分)列でサンプリング間隔を調整します。

  • サンプリングパス: フローログのサンプリングパスを選択します。 使用可能なパスには、すべてのシナリオ、IPv4ゲートウェイを介したトラフィック、NATゲートウェイを介したトラフィック、VPNゲートウェイを介したトラフィック、トランジットルーターを介したトラフィック、ゲートウェイエンドポイントを介してクラウドサービスにアクセスするトラフィック、VBRを介してエクスプレスコネクト回路にアクセスするトラフィックが含まれます。 デフォルトでは、[すべてのシナリオ] が選択されていますが、他のシナリオからトラフィックを収集するオプションをカスタマイズできます。

フローログの削除

[開始] または [未開始] 状態のフローログは削除できます。 収集されたトラフィックは、フローログが削除された後も、ログ管理コンソールからアクセスできます。

  1. フローログページに移動し、削除するフローログを見つけ、アクション削除クリックします。

  2. フローログの削除ダイアログボックスで、OKをクリックして削除を確認します。

フローログの分析

フローログを分析することで、アクセス制御ルールの確認、ネットワークトラフィックの監視、ネットワークの問題のトラブルシューティングを行うことができます。

Logstoreの使用

  1. フローログページ内のLogstoreリンクをクリックします。シンプルなログサービス列を作成します。

  2. ログ管理コンソールで、検索&分析コンソールで使用可能な機能を使用してフローログを分析します。

フローログセンターの使用

  1. Log Serviceコンソールにログインします。

  2. [ログアプリケーション] セクションで、[ログアプリケーションの詳細] をクリックします。 [ログアプリケーション] ダイアログボックスで、[フローログセンター] を選択します。

  3. [フローログ管理] ページで、[追加] をクリックします。 [インスタンスの作成] パネルで、フローログの作成時に設定したプロジェクトとLogstoreを選択します。

  4. インスタンスの作成後、[フローログセンター] でインスタンスIDをクリックします。 On theフローログの詳細ページでは、データを表示および分析できます。

    日志中心

    [モニタリングセンター] では、さまざまなダッシュボードやカスタマイズクエリを見つけることができます。

    • 概要: フローログのステータスを表示します。

    • ポリシー統計: 受け入れられたトラフィックと拒否されたトラフィックの傾向と、ソースCIDRブロック、ソースポート、プロトコルタイプ、宛先CIDRブロック、および宛先ポートを含む受け入れと拒否の5タプルの詳細を表示します。

      • Accept: セキュリティグループまたはACLによって許可されたトラフィック。

      • 拒否: セキュリティグループまたはACLによってブロックされたトラフィック。

    • ENIトラフィック: ENIのインバウンドトラフィックとアウトバウンドトラフィックの詳細を表示します。

    • ECS間トラフィック: ECSインスタンス間のトラフィックフローを示します。

    • カスタムクエリ: ログのクエリと分析を実行できます。

  5. フローログの詳細ページで、CIDRブロック設定をクリックし、ドメイン間分析を有効化します。

    ドメイン間分析機能を有効にすると、データ変換タスクが自動的に作成され、CIDRブロック間のトラフィックを分析するためのCIDRブロック情報を含むVPCフローログが生成されます。 データ変換機能には追加料金が発生するため、ニーズに応じてドメイン間分析を有効にするかどうかを決定します。

    Simple Log Serviceで定義されている次のCIDRブロックを使用して、必要に応じてドメイン間分析機能を有効にできます。 定義済みのCIDRブロックがニーズを満たさない場合は、カスタムCIDRブロックを追加できます。

    image

    ドメイン間分析には、次のダッシュボードとカスタムクエリ機能があります。

    • ドメイン間トラフィック: 異なるCIDRブロック間のトラフィックパターンを表示します。

    • ECS-to-Domainトラフィック: ECSインスタンスからさまざまな宛先CIDRブロックへのトラフィックを表示します。

    • 脅威インテリジェンス: 送信元IPアドレスと送信先IPアドレスの脅威インテリジェンス情報を提供します。

    • カスタムクエリ: VPCフローログのクエリと分析が可能です。

フローログの開始または停止

フローログの開始

現在 [未開始] 状態のフローログを開始できます。 フローログは、オンになった後にのみ、ENIからトラフィック情報の収集を開始します。

[フローログ] ページで、開始するフローログを見つけます。 [操作] 列で、[開始] をクリックします。 これにより、フローログのステータスがStartedに変更されます。

フローログの停止

ENIからのトラフィック情報の収集を停止するには、フローログをオフにします。 この操作ではフローログは削除されません。 トラフィックデータの収集を再開するには、[未開始] 状態のフローログを再起動します。

[フローログ] ページで、停止するフローログを見つけます。 [操作] 列で、[停止] をクリックします。 これにより、フローログのステータスが [未開始] に変更されます。

関連ドキュメント

SDK、Terraform、またはROSを使用してフローログを管理することもできます。 詳しくは、以下のドキュメントをご参照ください。