• 検索:

    このセクションでは、VPC フローログを CloudWatch Logs に発行することについて紹介していきます。

    IAM ロールの作成

    VPC フローログを CloudWatch Logs に発行するためには、そのための権限が必要となります。その権限のロールを事前に作成します。

    IAM のロールページを開き、[ ロールを作成 ] ボタンを押します。

    信頼されたエンティティを選択するページで、以下を指定し [ 次へ ] ボタンを押します。
    ・信頼されたエンティティタイプ:AWS のサービス
    ・ユースケース: EC2

    許可を設定のページでは、ここでは何も設定せず  [ 次へ ] ボタンを押します。後で設定します。

    名前、確認、および作成のページでは、任意のロール名を入力し [ ロールを作成 ] ボタンを押します。

    正常であれば、この時点で新しいロールが作成されます。

    作成された IAM ロールに、CloudWatch Logs にログを発行するための権限を付与していきます。

    作成された IAM ロールをクリックし、許可のタブ画面で [ 許可を追加 ] – [ インラインポリシー作成 ] を選択します。

    アクセス許可を指定のページで、p付与する権限のポリシーを定義し [ 次へ ] ボタンを押します。

    アクセス許可を指定のページで、付与する権限のポリシーをJSON形式で記述し [ 次へ ] ボタンを押します。記述するJSON形式の内容は後述します。

    ※ ポリシーエディタに記述する内容

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}

    確認して作成のページで、ポリシー名を入力して [ ポリシーの作成 ] ボタンを押します。

    正常であれば、この時点で IAM ロールの許可ポリシーが作成されます。

    信頼関係のタグ画面を開き、VPC Flow Logs がロールを引き受けることができる信頼ポリシー(IAMロールを Assume するための権限)を作成していきます。

    [ 信頼ポリシーを編集 ] ボタンを押します。

    信頼ポリシーを編集ページで、信頼ポリシーをJSON形式で記述し [ ポリシーを更新 ] ボタンを押します。記述するJSON形式の内容は後述します。

    ※ 記述する内容

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    正常であれば、この時点で IAM ロールの信頼ポリシーが更新します。

    CloudWatch Logs のロググループの作成

    VPC フローログを送付する先となる CloudWatch Logs のロググループを作成していきます。

    AWS マネジメントコンソールで CloudWatch リソースを選択し、CloudWatchのページで [ ログ ] – [ ロググループ ] を選択します。

    ロググループのページで、 [ ロググループを作成 ] ボタンを押します。

    作成するロググループ名を入力し、[ 作成 ] ボタンを押します。

    正常であれば、この時点で ロググループが作成されます。

    VPC フローログの作成

    次に、VPC フローログを作成していきます。

    AWS マネジメントコンソールで VPC リソースを選択し VPCページを開きます。フローログを作成したい VPC を選択し、フローログのタブ画面で [ フローログを作成 ] ボタンを押します。

    フローログを作成のページで以下設定をし、[ フローログを作成 ] ボタンを押します。
    ・フローログの名前:任意な名前
    ・フィルタ:すべて(ここではすべてのトラフィックログを取得)
    ・最大集約間隔:10分間
    ・送信先:CloudWatch Logs に送信
    ・送信先ロググループ:先程作成したCloudWatch Logsのロググループ
    ・IAM ロール:先程作成した IAM ロール

    正常であれば、この時点で フローログが作成されます。

    ログの確認

    CloudWatch Logs に送信されてくる VPC フローログを確認していきます。

    CloudWatch リソースページで [ ログ ] – [ ロググループ ] を選択し、作成したロググループを選択します。

    ログがあれば、ログストームとしてログが作成されます。ログはネットワークインターフェイス毎に作成されます。

    作成されたログを選択すると、ログの詳細を確認することができます。

    ネットワークインターフェイスについては、EC2 リソースで確認できます。