Help us understand the problem. What is going on with this article?

【AWS】VPCフローログを使ってみた

More than 3 years have passed since last update.

はじめに

今回、AWSサービスの1つであるVPCフローログというサービスを触る機会があった。
どうやらググっても情報量はさほどなさげなため、簡単にまとめてみることにした。

VPCフローログとは

VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。
フローログのデータは、Amazon CloudWatch Logs を使用して保存されます。
フローログを作成すると、そのデータを Amazon CloudWatch Logs で表示し、取得できます。

参照元:AWSドキュメントVPCフローログより
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-log-records

ここで大事なのは以下となります。
VPCフローログはENIを行き来するトラフィックに関する情報をキャプチャする。
VPCフローログはAmazon Cloud Watch LogsにENIごとに保存される。
VPCフローログの取得は、ENI単位、サブネット範囲、VPC範囲で行える。
つまりサブネット範囲・VPC範囲でログの取得を行った場合、範囲内のすべてのENIが対象となります。

使ってみる

例えば次のような単純な構成でサブネット範囲でログを取得してみます。
まず前提として、ELBはデフォルトで冗長構成となっていますが、ログをZoneC側に流さないようにZoneAのみで稼動させています。
果たしてどうなるでしょうか。
image

今回はサブネット範囲(172.31.16.0/20)でログを取得するため、記録されるENIはzoneAにあるELB一枚、EC2一枚の計2つ分のログが記録されると思っていました。
しかし、どうやらデフォルトで冗長化されているELB(zoneAに一枚,zoneCに一枚)を片系稼動させると片系側でもう一枚ENIが投入され、結局二枚(zoneAに二枚)になるようです。

image

というわけで、ENI3枚分(ELB二枚、EC2一枚)のログが生まれてしまいました。
image
まずは一旦中味をのぞいてみるとします。

どんな感じでログが取れるのか

前提としてSGの設定は、マイIPのみ許可しています。
・ELBのログ
image

image

EC2のログ
image

???「FlowLogsは人間が見るログじゃねぇからな」
ほんとそれ。可読性が低いですね・・・。
ちなみに見方としては上記ドキュメントにも記載されていますが、以下となります。

フィールド
VPCフローログバージョン
AWSアカウントID
ENIのID
送信元IP
送信先IP
送信元ポート
送信先ポート
プロトコル番号
キャプチャ開始(unix時間)
キャプチャ終了(unix時間)
アクション(ACCEPT,REJECT)
ログは記録されたか(OK,NODATA,SKIPDATA)

実際ログを取ってみると、意外と見知らぬIPからの通信がきており、SGが仕事していることが分かります。
黒塗りの部分は私がEC2にSSH接続をした場面が記録されています。
さて、ご覧の通りここで大事なのは以下となります。
XFFは記録されず、直前に通ったENIがある場合、ENIのプライベートIPが記録される。(EC2のログ)
ELBのヘルスチェックのログが多数記録されてしまう。(ELBのログ、EC2のログ)
ELBを経由してEC2にやってくる通信は、全てが直前であるELBのENIプライベートIPとして記録される。(EC2のログ)

実際に使えるのか

さて、ざっくり分かったような分からんような感じですが、大切なのは実際に使えるか否かです。
この機能の使い方としていったいどういった使い方が相応しいのか・・・。
今回は前述の構成でELB上の通信のみをキャプチャすることにフォーカスして考えます。

ELBを通過する通信のみをキャプチャしてみる

こういった場合には以下の画像のように、対象ELB専用にサブネットを作成します。
その上で、対象サブネット(172.31.32.0/20)に対してVPCフローログを有効化します。
image

image
こうすることでいい感じにELBの二枚分のENIのログを取得することができました。

まとめ

なんか色々残念な感じの記事になってしまいましたが、一旦ここでまとめようと思います。
ログの可読性が低いため、万が一のため有効化するくらいが現実的か。
EC2オンリーの環境の場合、意外とそのまま使えるかもしれない。
以下の画像のようにログを複数クリックしてイベントを見ると自動で連結してくれるため結構便利。
image
XFFは出ない。
ヘルスチェックの通信が記録されないようにしないとELBのログとして見るのは厳しい。
以下のようにAWS CLIなど経由でログを取得し、整形すればアクセスログとして使えるかもしれない。

[ec2-user@ip-172-31-31-219 ~]$ aws logs get-log-events --log-group-name VPC-Flow-Logs --log-stream-name eni-6d018c25-all | grep -v [{/}] | grep -v "timestamp" | grep -v "ingestionTime" | grep -v 172.31.31.219
            "message": "2 xxxxxxxxxxxx eni-6d018c25 222.186.34.155 172.31.34.40 77 8089 6 1 40 1457611633 1457611693 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 187.17.111.99 172.31.34.40 80 37882 6 1 44 1457611693 1457611753 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 172.31.34.40 192.88.99.255 0 0 41 10 1240 1457611693 1457612293 ACCEPT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 58.218.205.83 172.31.34.40 43272 8080 6 1 40 1457611817 1457611873 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 117.27.251.96 172.31.34.40 15459 3306 6 1 40 1457612113 1457612173 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 58.218.204.225 172.31.34.40 43861 3128 6 1 40 1457612175 1457612233 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 64.125.239.200 172.31.34.40 45298 80 6 1 40 1457612233 1457612293 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 64.125.239.166 172.31.34.40 33160 22 6 1 40 1457612233 1457612293 REJECT OK"
            "message": "2 xxxxxxxxxxxx eni-6d018c25 103.37.45.94 172.31.34.40 6000 1433 6 1 40 1457612233 1457612293 REJECT OK"

結論

そのまま使うのは結構きつい。
ELBアクセスログを使おう(提案)

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした