OCI で OCI Logging という新機能がリリースされました。
Compute instance 以外の OCI の資源の log が取得可能になりました。
その機能群のうち、FLow log という subnet を通過する通信の log が収集できるようになったのでその機能を確認します。
Flow log でできること
- VCN の subnet 内のデータの入出力の log の取得
- Reject を含んだ通信が見えるので、何らかの攻撃を受けている場合、その分析がしやすい
- SEIM(Security Information and Event Management)可能
- Compute との間のトラフィックに限らず Load balancer や PaaS のトラフィックが見える
- Logging service connector で、Object Storage に保存したり、Log search サービスと連携できる
- 問題解決、モニタリングに使える
- network security の設定が間違っている場合 VCN の log に REJECT の記録が出るので DENY ルールが設定確認しやすい、
コンプライアンス準拠の確認に使える
作業手順
コンソールから
ロギング > ログ・グループ に移動
[ログ・グループの作成]で、まずログ・グループを作ります。
myFLowLog というログ・グループが作れました。
続いて[ログ]の作成で、ログ・グループ内にログを作ります。
[名前] に任意の名前
[説明] に説明文、で[作成]
ログの確認
[ログ]のタブに移動し
[リソース・ログ]の有効化を選択し、
[ログ名]に名前を記入する。
ログの取得が始まるので、[検索]に移動し
[フィールドまたはテキスト検索によるフィルタ]に検索項目を入力してログを絞り込みます、自動補完で候補が出現するのでいろいろ打ってみます
例えば data.destinationAddress = とかなら宛先IPアドレスでの絞り込みです
JSON 形式のログの詳細を見てみると、気になるのが
startTime などの UNIX エポック表記の時間表記です。
例えば
1602505762 は変換すると 2020 年 10 月 12 日 21:29:22 のことだと分かります。
https://keisan.casio.jp/exec/system/1526004418
Flow logは、VCNの設定ミスがないかとかの確認をしたい時に便利そうな機能です。
Links
Flow logs の発表
OCI infrastructure logging の発表
https://blogs.oracle.com/cloud-infrastructure/announcing-the-general-availability-of-oracle-cloud-infrastructure-logging
(Flow logs は infrastructure logging に依存しています)