VPCフローログの送信先についてまとめてた

和田響

2024.04.23

はじめに

こんにちは。AWS事業本部コンサルティング部に所属している和田響です。

今回はVPCフローログの送信先についてまとめてみました。

それぞれの送信先の特徴を理解し適切な選択をするのに役立ててください。

先にまとめ

VPCフローログとは?

VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは、Amazon CloudWatch Logs、Amazon S3、または Amazon Data Firehose の場所に発行できます。フローログを作成したら、設定したロググループ、バケット、または配信ストリームのフローログレコードを取得して表示できます。

送信先の種類

VPCフローログは送信先を、CloudWatch LogsS3Data Firehoseから選択することができます。
それぞれのサービスの特徴を見ていきましょう。

CloudWatch Logs

CloudWatch LogsはCloudWatchの機能の一つでシステム、アプリケーション、 AWSサービスからのログを一元管理することができます。

CloudWatch Logsの特徴

  • CloudWatch Logs Insightsを活用することで、ログデータをインタラクティブに検索および分析できる
  • メトリクスフィルターを活用することでアラームを作成することができる
  • VPCフローログをCloudWatch Logsに送信する際には適切なIAMロールの設定が必要になる

CloudWatch Logsの料金

VPCフローログをCloudWatch Logsに送信する場合にかかる料金は以下の2種類です。

  • ログの収集にかかるコストが0.76USD/GB
  • ログの保存 (アーカイブ)にかかるコストが0.033USD/GB

詳細は公式ドキュメントをご確認ください。

CloudWatch Logsの費用はやや高いですが、一定期間以上経ったログをS3に送信するなどしてコストを抑えることも可能です。

ユースケース

以上の特徴からVPCフローログをCloudWatch Logsに送信するユースケースは、ログの検索・分析およびアラートが必要な場合といえます。

S3

S3は、Amazonが提供するクラウドストレージサービスです。

S3の特徴

  • 99.999999999%の高い耐久性を誇る
  • オブジェクトあたり5TBのデータを保管できる
  • 複数のデータセンターにデータを複製し、高可用性を実現できる

S3の料金

VPCフローログをS3標準バケットに送信する場合にかかる料金は以下の2種類です。

  • ストレージ料金が0.025USD/GB
  • Vended Logsにかかるコストが0.38USD/GB

バケットの種類や保存量に応じて料金が変わりますので、詳細は公式のドキュメントを参照ください。

Vended Logsとは、簡単にいうと「VPCフローログをS3やData Firehoseに送信する際にAWS側が取得するログ」のことで送信先の保存料とは別途課金されます。詳細は以下のブログを参照ください。

最初の1年はS3標準バケットにログを保存し、以降のログは保存用によりコストのかからないストレージタイプのバケットにレプリケーションすることでコストを抑えることも可能です。

ユースケース

以上の特徴からVPCフローログをS3に送信するユースケースは、長期での保管が必要な場合もしくはコストを抑えたい場合といえます。

また、S3に保管したログの分析を効率化するためにAthenaを用いることも可能です。

Data Firehose

Data Firehoseは、リアルタイムのデータ取り込みと変換を行うことができるサービスです。

Data Firehoseの特徴

  • リアルタイムでデータを取り込むことができる
  • 取り込んだデータを、指定したフォーマットに変換したり、データの前処理を行うことができる
  • 変換したデータをS3、Redshift、OpenSearch、などのデータストアに保存することができる

Data Firehoseの料金

VPCフローログをS3標準バケットに送信する場合にかかる料金は以下の4種類です。

  • 取り込み料金が0.036USD/GB
  • 形式の変換にかかる料金が0.022USD/GB
  • Vended Logsにかかるコストが0.38USD/GB
  • 転送先のAWSサービスにかかるコスト

詳細は公式ドキュメントをご確認ください。

ユースケース

以上の特徴からVPCフローログをData Firehoseに送信するユースケースは、リアルタイムのデータ取り込みやOpenSearchなどと連携した高度な分析が必要な場合といえます。

まとめてみた

これらを端的に表にまとめてみました。

最後に

VPCフローログは取得する場合が多いと思いますが、どこに送信するかは迷いどころです。
それぞれの特徴を理解した上で送信先を選択していきましょう!

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

データレイクハンズオンのログ生成部分が気になったので調査してみた

emi

2024.05.06

[アップデート] Amazon Bedrock エージェントでプロビジョンドスループットを使用出来るようになりました

いわさ

2024.05.06

Control Tower のランディングゾーンをダウングレードすることは可能でしょうか。

スライマンアブドラー パネ

2024.05.05

Amazon Bedrock のプロビジョンドスループットにおける最小請求単位を調べてみた

いわさ

2024.05.05