Amazon VPC Flow Logs(VPCフローログ)は、AWSの仮想ネットワーク(VPC)内のネットワークトラフィックを記録する機能です。ネットワークの監視やセキュリティ対策に役立ちます。
✅ かんたん解説(初心者向け)
VPC Flow Logsは、ネットワークの「見張り番」です。どんなデータがどこからどこへ流れたのかを記録して、あとで確認できるようにします。
たとえば:
- 🏫 学校の門番が「誰が学校に来たか、どこへ行ったか」を記録するイメージ。
- 🌐 インターネットを通るデータの「足跡」を残す仕組み。
✅ 詳しく解説(試験対策向け)
VPC Flow Logsは、以下のレベルでネットワークトラフィックをキャプチャします。
- VPCレベル:VPC全体のトラフィックを記録
- サブネットレベル:特定のサブネット内のトラフィックを記録
- ネットワークインターフェースレベル(ENI):特定のENIに関するトラフィックを記録
ログデータはAmazon CloudWatch LogsやAmazon S3に保存され、分析やセキュリティ監査に活用できます。
✅ Logの例
VPC Flow Logsは、次のようなフォーマットでデータを記録します。
2 123456789012 eni-abc12345 192.168.1.10 10.0.0.5 443 8080 6 10 500 1625234023 1625234083 ACCEPT OK
各項目の意味:
- 123456789012:AWSアカウントID
- eni-abc12345:ネットワークインターフェースID
- 192.168.1.10 → 10.0.0.5:送信元IPアドレス → 宛先IPアドレス
- 443 → 8080:送信元ポート → 宛先ポート
- ACCEPT:通信が許可された
✅ VPC Flow Logsの主な用途
- 🔒 セキュリティ監視:不正アクセスや異常な通信の検出
- 🛠 トラブルシューティング:ネットワークの遅延や通信エラーの原因を特定
- 📊 パフォーマンス分析:ネットワークトラフィックの傾向を分析し、最適化を図る
✅ VPC Flow Logsの設定方法
- AWSコンソールにログイン
- VPCサービスを開く
- [フローログ]を選択し、新しいフローログを作成
- 適用範囲(VPC、サブネット、ENI)を選択
- ログの送信先(CloudWatch LogsまたはS3)を設定
- フィルタリングルール(ACCEPT、REJECT、ALL)を設定
- 作成ボタンをクリックして完了
✅ VPC Flow Logsの制限と注意点
- ⏳ ログの取得に時間がかかることがある(数分の遅延)
- ❌ 記録されるのはIPトラフィックのみ(DNSクエリなどは含まれない)
- 💰 大量のログデータが発生するため、保存コストに注意
✅ まとめ
Amazon VPC Flow Logsは、AWSのネットワーク監視やセキュリティ対策に不可欠な機能です。初心者でも簡単に設定でき、試験対策にも役立つ知識なので、しっかり理解しておきましょう!
コメント