ネットワーク ・
VPC Flow Logs とは?トラフィックメタデータの記録と分析
VPC Flow Logs は VPC 内の通信メタデータ(送受信元 IP・ポート・バイト数等)を記録する機能。CloudWatch Logs / S3 / Kinesis Firehose に送信し、トラフィック解析・セキュリティ監査・トラブルシュートに使う。通信の中身(...
VPC 内の通信メタデータを CloudWatch / S3 に記録する機能。トラブルシュート・セキュリティ監査の必須ツール。
1. 概要(端的に)
VPC Flow Logs は VPC 内の通信メタデータ(送受信元 IP・ポート・バイト数等)を記録する機能。CloudWatch Logs / S3 / Kinesis Firehose に送信し、トラフィック解析・セキュリティ監査・トラブルシュートに使う。通信の中身(ペイロード)は記録しない点に注意。
2. 何ができるか
- トラフィックメタデータ記録:送信元/宛先 IP・ポート・プロトコル・バイト数・パケット数
- VPC / サブネット / ENI 単位で有効化可能
- 送信先:CloudWatch Logs / S3 / Kinesis Firehose
- Athena でクエリ:S3 出力 → Athena で SQL 分析
- 拒否されたトラフィックも記録
- VPN / Direct Connect / Transit Gateway にも対応
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | データ取り込み + 保管料金(CloudWatch / S3) |
| 記録対象 | メタデータのみ(ペイロードは記録しない) |
| 遅延 | 数分(リアルタイムではない) |
| 形式 | スペース区切り / Parquet 形式 |
| 対象トラフィック | 全通信、ACCEPT / REJECT 両方 |
ログレコード例
2 123456789012 eni-xxx 10.0.1.5 8.8.8.8 12345 53 17 1 64 1697000000 1697000060 ACCEPT OK意味:
eni-xxxの通信10.0.1.5から8.8.8.8(DNS)への UDP/53- 1 パケット 64 バイト
- ACCEPT(許可)
主要フィールド
- action:ACCEPT / REJECT
- srcaddr / dstaddr:送信元・宛先 IP
- srcport / dstport:ポート
- protocol:プロトコル番号(TCP=6, UDP=17)
- bytes / packets:データ量
4. 仕組み
Flow Logs は VPC 内の各 ENI を流れるパケットのメタデータを集約して記録する。集約間隔は 60 秒 or 600 秒(カスタマイズ不可)。
構成要素
- Flow Log 定義:対象(VPC / サブネット / ENI) + 送信先
- Aggregation Interval:60 / 600 秒
- 形式:デフォルト or カスタム(フィールド選択可)
- 送信先:CloudWatch Logs / S3 / Firehose
動作の流れ
- VPC / サブネット / ENI で Flow Logs 有効化
- 集約間隔ごとに ENI のトラフィックを集約
- 送信先に書き込み(数分の遅延あり)
- Athena / CloudWatch Insights で分析
S3 + Athena 分析
-- S3 に送られた Flow Logs を Athena でクエリ
SELECT srcaddr, COUNT(*) as packets
FROM vpc_flow_logs
WHERE action = 'REJECT'
GROUP BY srcaddr
ORDER BY packets DESC
LIMIT 10;→ 拒否された通信の TOP 10 送信元を抽出。
コスト最適化
- S3 出力 + Athena:CloudWatch Logs より安価
- 集約間隔 600 秒:60 秒より低コスト
5. ユースケース
ユースケース 1:セキュリティ調査
不正アクセス・ポートスキャン検知。
ユースケース 2:トラブルシュート
通信が届かない原因の特定(SG / NACL でブロック されているか確認)。
ユースケース 3:コンプライアンス
監査要件で全通信ログ保管が必須。
ユースケース 4:コスト分析
データ転送量の多い通信を特定 → コスト最適化。
ユースケース 5:DDoS 検知
異常な REJECT 集中の検知。
6. 関連用語
- VPC — Flow Logs の対象
- CloudWatch-Logs — 送信先候補
- S3 — 送信先候補(コスト効率)
- Athena — S3 上のログ分析
- Kinesis-Firehose — Firehose 経由の配信
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | 出題稀 |
| SAA | 中 | 監査・セキュリティ要件 |
| DVA | 低 | 出題ほぼなし |
| SOA | 高 | トラブルシュート・運用 |