すべてのプロダクト
Search

このプロダクト

    VPN Gateway:ENIフローログに基づいてVPNゲートウェイのデータ転送情報を照会および分析する

    ドキュメントセンター

    VPN Gateway:ENIフローログに基づいてVPNゲートウェイのデータ転送情報を照会および分析する

    最終更新日:Oct 22, 2024

    デュアルトンネルモードでVPNゲートウェイを使用してネットワーク接続を確立すると、VPNゲートウェイに関連付けられている仮想プライベートクラウド (VPC) のvSwitchにelastic network Interface (ENI) が作成されます。 ENIは、VPNゲートウェイとVPC間のデータ転送を有効にします。 VPCのフローログ機能を使用して、ENIを介したデータ転送に関する情報を記録できます。 次に、ENIのフローログを照会および分析して、VPNゲートウェイのデータ転送情報の詳細を知ることができます。 たとえば、ENIのフローログを照会および分析して、VPNゲートウェイを使用して相互に通信するサーバー、VPC内のリソースにアクセスするサーバー、および最大量のトラフィックを消費するElastic Compute Service (ECS) インスタンスを見つけることができます。

    このトピックでは、VPCのフローログ機能を使用してVPNゲートウェイのENIを介したデータ転送に関する情報を記録する方法と、VPNゲートウェイのデータ転送情報について詳しく知るためにENIのフローログを照会および分析する方法について説明します。

    次の図に示すように、2つのVPCはIPsec-VPN接続を使用して接続されています。 VPN Gateway 1のENIごとにフローログが作成され、VPN Gateway 1のデータ転送情報が記録されます。

    説明

    IPsec-VPN接続を使用して2つのVPCを接続する方法の詳細については、「デュアルトンネルモードでIPsec-VPN接続を使用して2つのVPC間の通信を有効にする」をご参照ください。

    image

    手順1: VPNゲートウェイのENI情報の表示

    VPN gatewayをデュアルトンネルモードで使用してネットワーク接続を確立した後、VPN gatewayの詳細ページでシステムが作成したENIに関する情報を表示できます。

    1. VPN gatewayコンソール.

    2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

    3. VPN Gateway ページで、管理するVPN gatewayを見つけ、そのIDをクリックします。

    4. VPN gatewayの詳細ページの 基本情報 セクションで、システムによって作成されたENIのIDと名前を表示します。ENI

      説明

      VPNゲートウェイに対してIPsec-VPNまたはSSL-VPN機能のみが有効になっている場合、システムはVPCのvSwitchに2つのENIを作成します。 VPNゲートウェイでIPsec-VPN機能とSSL-VPN機能の両方が有効になっている場合、システムはVPCのvSwitchに4つのENIを作成します。

      この例では、VPNゲートウェイに対してIPsec-VPN機能のみが有効になっています。

    手順2: フローログの作成

    フローログを作成する前に、Simple log Serviceが有効化されていることを確認してください。

    VPN Gateway 1のENIごとにフローログを作成します。 ENIのフローログが作成されると、フローログ機能はデフォルトで有効になり、ENIを介したデータ転送に関する情報の記録が自動的に開始されます。 フローログのフィールドの詳細については、「フローログの概要」トピックの [背景情報] セクションをご参照ください。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > フローログ を選択します。

    3. フローログ機能を初めて使用する場合は、今すぐ有効化フローログ機能を有効にします。

      説明

      フローログを作成した場合、今すぐ有効化 をクリックするとフローログが表示されます。

    4. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

    5. フローログページをクリックします。フローログの作成.

    6. フローログの作成ダイアログボックスで、次の表に記載されているパラメーターを設定し、OK.

      次の表に、このトピックに強く関連するパラメーターのみを示します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。 詳細については、「フローログの作成と管理」トピックのフローログの作成セクションをご参照ください。

      パラメーター

      説明

      リソースタイプ

      ログに記録するリソースのタイプ。

      この例では、ENIが選択されています。

      リソースインスタンス

      VPNゲートウェイのENI。

      トラフィックタイプ

      ログに記録するトラフィックのタイプ。 有効な値:

      • すべてのトラフィック: 指定されたリソースのすべてのトラフィックに関する情報をキャプチャします。

      • 許可されたトラフィック: 指定されたリソースのセキュリティグループルールとネットワークアクセス制御リスト (ACL) ルールによって許可されたトラフィックに関する情報を取得します。

      • 拒否されたトラフィック: 指定されたリソースのセキュリティグループルールとネットワークACLルールによって拒否されたトラフィックに関する情報をキャプチャします。

      この例では、[すべてのトラフィック] が選択されています。 ビジネス要件に基づいてトラフィックタイプを選択できます。

      プロジェクト

      フローログの管理に使用されるSimple Log Serviceプロジェクト。 有効な値:

      • Select Project: フローログを管理する既存のプロジェクトを選択します。

      • プロジェクトの作成: フローログを管理するプロジェクトを作成します。

      この例では、[プロジェクトの作成] が選択されています。

      Logstore

      フローログの保存に使用されるSimple Log Service Logstore。 有効な値:

      • Select Logstore: フローログを保存する既存のプロジェクトから既存のLogstoreを選択します。

      • Logstoreの作成: フローログを保存するLogstoreを作成します。

      この例では、Logstoreの作成が選択されています。 この例では、VPN Gateway 1のすべてのENIフローログが同じLogstoreに配信され、その後のログのクエリと分析が容易になります。

      FlowLog レポート分析機能の有効化

      インデックス作成を有効にし、Logstoreのダッシュボードを作成するかどうかを指定します。 ログ分析レポート機能を有効にすると、SQLクエリを使用してログデータを消費し、ダッシュボードでログデータを分析できます。

      Simple Log Serviceダッシュボードは無料です。 ただし、データ使用量に基づいてSimple Log Serviceのインデックス作成機能に対して課金されます。 詳細については、「機能課金の課金項目」をご参照ください。

      この例では、ログ分析レポート機能が有効になっています。 この機能は、フローログのクエリと分析に役立ちます。

      サンプリング間隔 (分)

      フローログのトラフィック情報がキャプチャされる時間間隔。

      この例では、間隔は1分に設定されています。

    ステップ3: フローログの照会と分析

    フローログ機能によって記録されたトラフィック情報は、フローログの形式でSimple log Serviceに自動的に配信されます。 Simple Log Serviceコンソールに移動して、VPNゲートウェイのENIフローログを照会および分析できます。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] > [フローログ] を選択します。

    3. 上部のナビゲーションバーで、フローログが作成されているリージョンを選択します。

    4. [フローログ] ページで、管理するフローログを見つけ、[Simple Log Service] 列のLogstoreの名前をクリックします。 Simple Log Serviceコンソールに移動します。

      logstore

    5. Logstoreの詳細ページで、ENIフローログを照会および分析して、VPN Gateway 1のデータ転送情報について詳しく知ることができます。

      この例では、VPN Gateway 1の各ENIのフローログからデータが照会されます。 ビジネス要件に基づいてフローログを照会することもできます。

      • シナリオ

        この例では、VPNゲートウェイ1の各ENIを介して接続されたサーバに関する情報と、ソースサーバと宛先サーバの各ペアによって送信されたバイト数とが照会される。

      • クエリ文

        * | select "eni-id",srcaddr,dstaddr,direction,sum(bytes) as byte from log GROUP BY
"eni-id",srcaddr,dstaddr,direction ORDER BY "eni-id" DESC limit 10

      • 手順

        2024-05-31_10-57-18-CN

        ステップ

        説明

        1

        フローログを照会する時間範囲を選択します。

        2

        SQL文を入力します。

        3

        [検索と分析] をクリックします。

        4

        [一般設定] タブで、すべての設定のデフォルト値を使用します。

        カスタム統計グラフを使用して、ビジネス要件に基づいてデータを表示できます。 詳細については、「チャートの概要 (Pro) 」をご参照ください。

        5

        [チャートのプレビュー] セクションでは、クエリ結果を表示、フィルター、または並べ替えできます。 その後、クエリ結果に基づいてVPN gatewayのデータ転送情報を表示できます。 設定例:

        • VPN Gateway 1は、eni-7xv1sg8m **** 39という名前のNEIを使用してデータを転送します。

        • VPC 1のECSインスタンス2は、以前のECSインスタンス内の他のECSインスタンスと通信しません 15分

        • ECSインスタンス1とECSインスタンス4は、過去15分以内に相互に通信し、大量の帯域幅を占有します。

        説明

        データ転送の方向:

        in: VPCからENIへのデータ転送。

        out: ENIからVPCへのデータ転送。

        6

        オプションです。 この例では、クエリシナリオがダッシュボードに追加されます。 これにより、いつでもクエリ結果を表示できます。

        [新しいダッシュボードに追加] をクリックし、表示されるダイアログボックスで次のパラメーターを設定します。

        • 操作: 操作のタイプ。 この例では、[ダッシュボードの作成] を使用します。

        • レイアウトモード: ダッシュボードのレイアウトモード。 この例では、Grid Layoutが使用されています。

        • ダッシュボード名: ダッシュボードの名前。 この例では、VPN Gateway 1がダッシュボード名として使用されています。

        詳細いついては、「ダッシュボード」をご参照ください。

    関連ドキュメント

    ログのクエリと分析方法の詳細については、「インデックスモードでのログのクエリと分析」をご参照ください。