AWSを利用する際に、ネットワークにうまく接続できない等のトラブルシューティングをするためのツールとして、VPCフローログがあります。便利なのですが使い方をよく忘れるのでまとめておきます。
ロググループの作成
CloudWatchコンソールより、ロググループを作成します。
ログの容量に応じて保管費用が掛かるため、適切な保持期間を設定しておくとよいです。
IAMの作成
以下のページに記載があるのですが、分かりにくいので画像付きで説明します。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html
まず、IAMコンソールを開き、左側のメニューからロールを開きます。上部にあるロールの作成をクリックします。
AWSサービス→EC2の順に選択し、次のステップ:アクセス権限をクリックします。
続けて、次のステップ:タグ、次のステップ:確認をクリックします。
ロール名を入力して、ロールの作成をクリックします。
作成したロールをクリックします。
インラインポリシーの追加をクリックします。
タブからJSONを選択し、以下のように記述します。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
ポリシー名を入力して、ポリシーの作成をクリックします。
次に、信頼関係のタブより、信頼関係の編集をクリックします。
表示されているポリシーを以下に書き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
信頼されたエンティティの欄が、vpc-flow-logs.amazonaws.comになっていれば設定完了です。
フローログの設定(VPC単位)
VPCコンソールより、フローログを設定したいVPCを選択し、フローログタブからフローログの作成をクリックします。
フローログの設定を実施します。私は以下の設定をよく使用しています。フィルタのデフォルト値が「承諾」であるため、すべてのログを取得したい場合は変更が必要なので気をつけてください。
- フィルタ:すべて
- 最大集約間隔:1分
- 送信先:CloudWatch Logsに送信
- 送信先ロググループ:先ほど作成したロググループ
- IAMロール:先ほど作成したIAMロール
- ログレコード形式:AWSのデフォルト形式
フローログを作成をクリックすると、フローログの取得が始まります。
フローログの設定(ネットワークインターフェース単位)
フローログはネットワークインターフェース単位でも取得できます。EC2コンソールより、フローログを取得したいネットワークインターフェースを選択し、フローログタブからフローログの作成をクリックします。設定値はVPC単位で設定する際と同じであるため、省略します。
取得したフローログの確認
フローログを確認する際は、先ほど作成したロググループにアクセスします。ネットワークインターフェース単位で表示が分かれるため、事前にインターフェースIDを確認しておきます。
フローログの取得を停止
フローログの取得を停止する場合は、フローログの作成した画面からアクションをクリックし、フローログを削除をクリックします。
