感想
- 設定自体はWebコンソールからポチポチ簡単
- 先にCloudWatchログでロググループを作っておく
- リジェクトしたログのみを出すと、不正アクセスが結構きている事がわかる。SSHとか知らないIPからバンバンきてる。
- 自社IP以外からSSH成功しているログをログメトリックスで引っかけてアラート出すと、良いかも。
- そもそもセキュリティグループで出来ないようになっているけど、万が一の為には安心かも。
設定方法
- サービス→CloudWatchを選択
- ログ→ロググループの作成→ロググループ名に「Flow-Log」→ロググループの作成ボタン押す
- サービス→EC2→ネットワークインターフェース→監視したいEC2インスタンスのやつを選択
- タブにフローログが増えてるので選択→フローログの作成
- フィルタ選択 すべて、許可、拒否のどれかを選択
- ロールは最初に「アクセス権の設定」をクリックすると適切なロール「flowlogsRole」を作ってくれる。
- 送信先ロググループは「Flow-Log」を選択
- 最後にフローログの作成を押す。
フローログの確認
- 作成後のフローログタブの表のCloudWatch ロググループのリンクを押すとフローログにジャンプするよ。
アカウント、IP値はマスクしています
2 999999999999 eni-99999999 218.77.zzz.zzz xxx.xxx.xxx.xxx 58065 22 6 1 40 1434068602 1434068662 REJECT OK
2 999999999999 eni-99999999 95.181.zzz.zzz xxx.xxx.xxx.xxx 39990 22 6 4 24 1434069322 1434069382 REJECT OK
Ver | アカウントID | ENI-ID | 送信元IP | 送信先IP | 送信元ポート | 送信先ポート | プロトコル | パケット数 | バイト数 | 開始unixtime | 終了unixtime | 許可or拒否 | ステータス |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
2 | 999999999999 | eni-99999999 | 218.77.zzz.zzz | xxx.xxx.xxx.xxx | 58065 | 22 | 6 | 1 | 40 | 1434068602 | 1434068662 | REJECT | OK |
- これはIP:218.77.zzz.zzzからSSH接続(22ポート)しようとして拒否(REJECT )が成功(OK)したよっていう意味のログ
- SSH接続は秘密鍵にして社内IPからしか許可しないようにセキュリティグループで設定しています。
まとめ
- IPトラフィック監視が簡単に設定できるので、いいね。
- CloudWatchログの新機能が増えてきているね。
- CloudWatchログをグラフィカルに可視化できる良い方法が有れば誰か教えてくださいー。
自分の技術ブログではフリーランス界隈の情報や最新のIT情報の発信していますので、よろしくお願いします。
参考サイト
VPC Flow Logs - トラフィックフローの収集、閲覧
【新機能】VPC Flow LogsでVPC内のIPトラフィックを監視することができるようになりました!
VPC Flow Logs – Log and View Network Traffic Flows
VPC Flow Logs