ちょっと話題の記事

[アップデート] VPC フローログに AWS サービス名および通信経路が表示されるようになりました!

個人的にはAWSサービス名の追加よりもトラフィックパスの追加のほうがHOTですね!
2021.03.04

本日のアップデートで VPC フローログに通信元、通信先の AWS サービス名や通信経路の表示可能になりました。

さっそく見てみる

以下のログでは後 4 つのフィールドが今回追加されたものになります。

追加されたフィールド

今回追加されたのは以下の 4 フィールドです。

pkt-src-aws-service

ソース IP アドレスをもとに AWS サービス名を表示します。表示される値は以下のとおりです。

  • AMAZON
  • AMAZON_APPFLOW
  • AMAZON_CONNECT
  • API_GATEWAY
  • CHIME_MEETINGS
  • CHIME_VOICECONNECTOR
  • CLOUD9
  • CLOUDFRONT
  • CODEBUILD
  • DYNAMODB
  • EC2
  • EC2_INSTANCE_CONNECT
  • GLOBALACCELERATOR
  • KINESIS_VIDEO_STREAMS
  • ROUTE53
  • ROUTE53_HEALTHCHECKS
  • S3
  • WORKSPACES_GATEWAYS

pkt-dst-aws-service

宛先 IP アドレスをもとに AWS サービス名を表示します。表示される値は pkt-src-aws-service と同様です。

flow-direction

トラフィックをキャプチャしたインタフェースから見たフローの方向を ingress | egress で表示します。

traffic-path

egress トラフィックがどの経路をとおって宛先に向かうかを 1 〜 8 の値で表示します。

egress トラフィックの経路
1 同じ VPC 内の別リソース経由
2 インターネットゲートウェイまたはゲートウェイ VPC エンドポイント経由
3 仮想プライベートゲートウェイ(VGW)経由
4 リージョン内の VPC ピアリング経由
5 リージョン間の VPC ピアリング経由
6 ローカルゲートウェイ経由
7 ゲートウェイ VPC エンドポイント経由
8 インターネットゲートウェイ経由

27,8 は同じ内容に見えますが、Nitro システムベースのインスタンスにアタッチされているインタフェースの場合は 7,8 のいずれかになります。

非 Nitro システムのインスタンスにアタッチされている場合は 2 になります。

設定方法

VPC 管理コンソールから対象の VPC を選択し、[フローログ] タグから [フローログの作成] を開きます。(既存のフローログにフィールドを追加することは出来ませんので、フィールドを追加したい場合は新規フローログを作成してください。)

[ログレコード形式] で [カスタム形式] を選択すると以下のようにログに追加したいフィールドが選択できますので、今回、追加された 4 フィールドを選択して [フローログを作成] します。

さいごに

VPC フローログの送信元および宛先 IP アドレスや通信ポートの情報をもとにユーザー側で何のトラフィックかを判断する必要がありすが、AWS サービスとして表示してくれるとその判断やフィルタが随分と楽になりそうですね。

また traffic-path は、意図した経路をとおったのか通っていないのかという判断に役立つ便利なフィールドのようですね。

以上!大阪オフィスの丸毛(@marumo1981)でした!