LogStare CollectorでのVPCフローログの取得方法とログレポート

ホーム
AWS/Azure
LogStare CollectorでのVPCフローログの取得方法とログレポート

AWS/Azure

2022.09.06

この記事は投稿日から2年以上経過しています。

当記事では、LogStare CollectorでのVPCフローログの取得方法について記載します。

更新履歴

2022/09/06 公開しました。

AWS側の設定

設定例として、ネットワークインターフェースを対象にフローログをCloudWatch Logsに出力するまでを記載します。

コンソールよりサービス「EC2」を起動して、メニューより「ネットワークインターフェース」を選択して下さい。ネットワークインターフェースが表示されたら、フローログ作成対象を選択して画面下部のタブ「フローログ」を押下します。
「フローログを作成」を押下します。
「フローログの設定」画面に遷移します。以下の項目を設定します。
- Name(オプション)：作成するフローログの名前を設定します。
- 最大集計期間：フローログの集計期間を「10分」「1分」より選択します。
- 送信先：フローログの送信先を「CloudWatch Logs」「S3」より選択します。LogStare Collectorで収集する場合、「CloudWatch Logs」を選択します。
- 送信先ロググループ：送信先ロググループを設定します。リストから既存のロググループを選択若しくは新たなロググループ名を入力します。
- IAMロール：フローログをCloudWatch Logsに発行出来る権限を持つIAMロールを選択します。必要な権限については以下を参照してください。
  https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-cwl.html#flow-logs-iam
- ログレコードの形式：出力されるフローログの形式を「AWSのデフォルト形式」「カスタム形式」より選択します。ログに含まれる内容につきましては以下を参照してください。
  https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html#flow-logs-custom
「フローログの設定」にて必要な項目の設定が終了したら、画面右下の「フローログの作成」を押下します。なお、オプションで任意のタグを設定することも可能です。

LogStare Collector側の設定

CloudWatch Logs収集機能が追加されている2.3.2以降のインストーラにてLogStare Collectorをインストールします。インストール手順につきましては以下の記事を参照してください。
LogStare Collectorインストールからアンインストールまで Windows版
 LogStare Collectorインストールからアンインストールまで Linux版
aws cli v2をインストールします。インストール手順につきましては以下の記事を参照してください。
WindowsServerにaws cliバージョン2をインストールする方法について
 Linux系OSにaws cliバージョン2をインストールする方法について
 AmazonLinux2において、aws cliのバージョンを1から2へ変更する方法について
CloudWatch Logs収集に必要な権限を付与します。LogStare CollectorがEC2インスタンス上にあれば、必要な権限を付与したIAMロールを設定します。LogStare CollectorがEC2インスタンス以外にあれば、必要な権限が付与されたユーザを作成の上、アクセスキー・シークレットキーをaws configureにて設定します。必要な権限につきましては以下の記事を参照してください。
CloudWatch Logs収集に必要な権限について
LogStare Collectorを起動後、CloudWatch Logs収集を設定します。設定方法につきましては以下の記事を参照してください。
CloudWatch Logs収集の設定

取得したログについて

取得したログは「検索・ダウンロード」にて確認することができます。「検索・ダウンロード」につきましては以下の記事を参照してください。
LogStare Collector における検索・ダウンロード画面について
以下はLogStare Collector上で取得したAWSのデフォルト形式でのフローログです。

ログレポート

「AWSのデフォルト形式」にて出力されるVPCフローログのレポートをLogStare Reporterにて生成することが出来ます。以下に作成例をまとめています。

送信元IP別

送信元IPアドレス別に集計したレポートです。送信元別の許可・遮断の件数や合計バイト数を算出し、日々の通信傾向を確認する際に利用することが出来ます。

通信量別

送信元IPアドレス・宛先IPアドレス毎の通信量(合計バイト数)を降順で集計したレポートです。トラフィック量の推移を確認することが出来ます。

LogStare Reporterは、Collectorが収集したログデータのレポート作成や、監視データとの相関分析、高度な複合条件によるアラート通知などを行なうSaaS型のログ分析システムです。LogStare Reporter、LogStare Quintについて詳しくは、こちらのLogStare製品ラインアップをご覧ください。

以上でLogStare CollectorでのVPCフローログの取得方法とログレポートについての説明は終了です。