Amazon VPC Transit Gateway フローログ - Amazon VPC
制約事項Transit Gateway Flow Log のレコードフローログの使用の管理Transit Gateway Flow Logs の料金

Amazon VPC Transit Gateway フローログ

Transit Gateway フローログは、Transit Gateway 間で行き来する IP トラフィックに関する情報をキャプチャできるようにする Amazon VPC Transit Gateway の機能です。フローログデータは、Amazon CloudWatch Logs、Amazon S3、または Firehose に発行できます。フローログを作成したら、選択した送信先でそのデータを取得して表示できます。フローログデータはネットワークトラフィックのパスの外で収集されるため、ネットワークのスループットやレイテンシーには影響しません。ネットワークパフォーマンスに影響を与えるリスクなしに、フローログを作成または削除できます。Transit Gateway フローログは、「Transit Gateway Flow Log のレコード」で説明されている Transit Gateway のみに関連する情報をキャプチャします。VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャする場合は、VPC フローログを使用します。詳細については、「Amazon VPC ユーザーガイド」の「VPC フローログを使用した IP トラフィックのログ記録」を参照してください。

注記

Transit Gateway フローログを作成するには、Transit Gateway の所有者である必要があります。ユーザーが所有者でない場合は、Transit Gateway の所有者からアクセス許可を付与する必要があります。

モニタリングされる Transit Gateway のフローログデータは、フローログレコードとして記録されます。これは、トラフィックフローについて説明するフィールドで構成されるログイベントです。詳細については、「Transit Gateway Flow Log のレコード」を参照してください。

フローログを作成するには、以下の内容を指定します。

  • フローログを作成するリソース

  • フローログデータを発行する送信先

フローログを作成後、データ収集と選択された送信先へのデータ発行が開始されるまでに数分かかる場合があります。フローログで、Transit Gateway のリアルタイムのログストリームはキャプチャされません。

フローログにタグを適用できます。タグはそれぞれ、1 つのキーとオプションの 1 つの値で構成されており、どちらもお客様側が定義します。タグは、目的や所有者などによって、フローログを整理するのに役立ちます。

フローログが不要になった場合には、それを削除することができます。フローログを削除すると、リソースのフローログサービスは無効になり、新しいフローログレコードは作成されず、CloudWatch Logs または Amazon S3 にも発行されません。フローログを削除しても、Transit Gateway の既存のフローログレコードやログストリーム (CloudWatch Logs の場合) またはログファイルオブジェクト (Amazon S3 の場合) は削除されません。既存のログストリームを削除するには、CloudWatch Logs コンソールを使用します。既存のログファイルオブジェクトを削除するには、Amazon S3 コンソールを使用します。フローログを削除した後で、データの収集が中止するまでに数分かかる場合があります。詳細については、「Amazon VPC Transit Gateway フローログレコードを削除する」を参照してください。

CloudWatch Logs、Amazon S3、または Amazon Data Firehose にデータを発行できる Transit Gateway のフローログを作成できます。詳細については、次を参照してください:

制約事項

Transit Gateway フローログには、次の制限が適用されます。

  • マルチキャストトラフィックはサポートされていません。

  • Connect アタッチメントはサポートされていません。すべての Connect フローログはトランスポートアタッチメントの下に表示されるため、Transit Gateway または Connect トランスポートアタッチメントで有効にする必要があります。

Transit Gateway Flow Log のレコード

フローログレコードは、Transit Gateway のネットワークフローを表します。各レコードは、スペースで区切られたフィールドから成る文字列です。送信元、送信先、プロトコルなど、レコードにはトラフィックフローのさまざまなコンポーネントの値が含まれています。

フローログを作成するときは、フローログレコードのデフォルトの形式を使用するか、カスタム形式を指定できます。

デフォルトの形式

デフォルトの形式では、フローログレコードには、使用可能なフィールドテーブルに表示される順序でバージョン 2 から 6 のフィールドが含まれます 。デフォルトの形式をカスタマイズまたは変更することはできません。使用可能なすべてのフィールドまたはフィールドの異なるサブセットをキャプチャするには、代わりにカスタム形式を指定します。

カスタム形式

カスタム形式を使用して、フローログレコードに含めるフィールドと順序を指定します。これにより、ニーズに合ったフローログを作成し、関連のないフィールドを省略できます。カスタム形式を使用すると、発行されたフローログから特定の情報を抽出する別個のプロセスが不要になります。使用可能なフローログフィールドは任意の数指定できますが、少なくとも 1 つ指定する必要があります。

使用可能なフィールド

次の表に、Transit Gateway フローログレコードの使用可能なすべてのフィールドを示します。Version 列には、フィールドが導入されたバージョンが表示されます。

Amazon S3 にフローログデータを公開する場合、フィールドのデータ型はフローログ形式によって異なります。形式がプレーンテキストの場合、すべてのフィールドは STRING 形式です。形式が Parquet の場合は、フィールドのデータ型の表を参照してください。

フィールドが特定のレコードに該当しないか、特定のレコードに対して計算できなかった場合、レコードでそのエントリには「-」記号が表示されます。パケットヘッダーから直接取得されないメタデータフィールドは、ベストエフォート近似値であり、値が欠落しているか、不正確である可能性があります。

フィールド 説明 Version

version

フィールドが導入されたバージョンを示します。デフォルトの形式には、すべてのバージョン 2 フィールドが含まれ、順番はテーブルと同じです。

Parquet データ型: INT_32

 2
resource-type

サブスクリプションが作成されるリソースのタイプ。Transit Gateway フローログの場合、これは TransitGateway になります。

Parquet データ型: STRING		 6
account-id

送信元 Transit Gateway の所有者の AWS アカウント ID。

Parquet データ型: STRING

 2

tgw-id

 トラフィックが記録される Transit Gateway の ID。

Parquet データ型: STRING

 6

tgw-attachment-id

 トラフィックが記録される Transit Gateway アタッチメントの ID。

Parquet データ型: STRING

 6

tgw-src-vpc-account-id

送信元 VPC トラフィックの AWS アカウント ID。

Parquet データ型: STRING

6

tgw-dst-vpc-account-id

送信先 VPC トラフィックの AWS アカウント ID。

Parquet データ型: STRING

6

tgw-src-vpc-id

 Transit Gateway の送信元 VPC の ID。

Parquet データ型: STRING

6

tgw-dst-vpc-id

Transit Gateway の送信先 VPC の ID。

Parquet データ型: STRING

6

tgw-src-subnet-id

Transit Gateway 送信元トラフィックのサブネットの ID。

Parquet データ型: STRING

6

tgw-dst-subnet-id

Transit Gateway 送信先トラフィックのサブネットの ID。

Parquet データ型: STRING

6
tgw-src-eni

フローの送信元 Transit Gateway アタッチメント ENI の ID。

Parquet データ型: STRING

6
tgw-dst-eni フローの送信先 Transit Gateway アタッチメント ENI の ID。

Parquet データ型: STRING

6

tgw-src-az-id

トラフィックが記録される Transit Gateway を含むアベイラビリティーゾーンの ID。トラフィックがサブロケーションからの場合、レコードにはこのフィールドに「-」記号が表示されます。

Parquet データ型: STRING

 6

tgw-dst-az-id

トラフィックが記録される送信先 Transit Gateway を含むアベイラビリティーゾーンの ID。

Parquet データ型: STRING

 6
tgw-pair-attachment-id

フローの方向に応じて、これはフローの出力または入力のアタッチメント ID になります。

Parquet データ型: STRING

 6

srcaddr

受信トラフィックの送信元アドレス。

Parquet データ型: STRING

 2

dstaddr

送信トラフィックの送信先アドレス。

Parquet データ型: STRING

 2

srcport

トラフィックの送信元ポート。

Parquet データ型: INT_32

2

dstport

トラフィックの送信先ポート。

Parquet データ型: INT_32

 2

protocol

トラフィックの IANA プロトコル番号。詳細については、「割り当てられたインターネットプロトコル番号」を参照してください。

Parquet データ型: INT_64

 2

packets

フロー中に転送されたパケットの数。

Parquet データ型: INT_64

 2

bytes

フロー中に転送されたバイト数。

Parquet データ型: INT_64

 2

start

集約間隔内にフローの最初のパケットが受信された時間 (UNIX 秒)。これは、パケットが Transit Gateway 上で送信または受信されてから最大 60 秒になる場合があります。

Parquet データ型: INT_64

 2

end

集約間隔内にフローの最後のパケットが受信された時間 (UNIX 秒)。これは、パケットが Transit Gateway 上で送信または受信されてから最大 60 秒になる場合があります。

Parquet データ型: INT_64

 2
log-status

フローログのステータス。

  • OK — データは選択された送信先に正常にログ記録されます。

  • NODATA — 集約間隔内にネットワークインターフェイスとの間で行き来するネットワークトラフィックはありませんでした。

  • SKIPDATA — 集約間隔内に一部のフローログレコードがスキップされました。これは、内部的なキャパシティー制限、または内部エラーが原因である可能性があります。

Parquet データ型: STRING

 2
type

トラフィックの種類。指定できる値は、IPv4 | IPv6 | EFA です。詳細については、「Amazon EC2 ユーザーガイド」の「Elastic Fabric Adapter」を参照してください。

Parquet データ型: STRING

 3

packets-lost-no-route

ルートが指定されていないためにパケットが失われました。

Parquet データ型: INT_64

6

packets-lost-blackhole

ブラックホールのためにパケットが失われました。

Parquet データ型: INT_64

6

packets-lost-mtu-exceeded

MTU を超えるサイズのためにパケットが失われました。

Parquet データ型: INT_64

6

packets-lost-ttl-expired

存続可能期間の満了によりパケットが失われました。

Parquet データ型: INT_64

6

tcp-flags

次の TCP フラグのビットマスク値:

  • FIN — 1

  • SYN — 2

  • RST — 4

  • PSH — 8

  • ACK — 16

  • SYN-ACK — 18

  • URG — 32

重要

フローログエントリが ACK パケットのみで構成されている場合、フラグ値は 16 ではなく 0 になります。

TCP フラグの一般的な情報 (FIN、SYN、ACK などのフラグの意味など) については、Wikipedia の「TCP セグメント構造」を参照してください。

TCP フラグは、集約間隔内に OR 処理することができます。短い接続の場合、フラグがフローログレコードの同じ行に設定されることがあります (例えば、SYN-ACK と FIN の場合は 19、SYN と FIN の場合は 3 など)。

Parquet データ型: INT_32

 3

region

トラフィックが記録される Transit Gateway を含むリージョン。

Parquet データ型: STRING

 4

flow-direction

トラフィックがキャプチャされるインターフェイスに対するフローの方向。指定できる値は次のとおりです: ingress | egress。

Parquet データ型: STRING

 5

pkt-src-aws-service

srcaddr 用の IP アドレスの範囲のサブセットの名前 (送信元 IP アドレスが AWS のサービス用の場合)。指定可能な値は次のとおりです:AMAZON |AMAZON_APPFLOW |AMAZON_CONNECT |API_GATEWAY |CHIME_MEETINGS |CHIME_VOICECONNECTOR |CLOUD9 |CLOUDFRONT |CODEBUILD |DYNAMODB |EBS |EC2 |EC2_INSTANCE_CONNECT |GLOBALACCELERATOR |KINESIS_VIDEO_STREAMS |ROUTE53 |ROUTE53_HEALTHCHECKS |ROUTE53_HEALTHCHECKS_PUBLISHING |ROUTE53_RESOLVER |S3 |WORKSPACES_GATEWAYS。

Parquet データ型: STRING

 5
pkt-dst-aws-service

dstaddr フィールド用の IP アドレスの範囲のサブセットの名前 (送信先 IP アドレスが AWS のサービス用の場合)。可能な値の一覧については、pkt-src-aws-service フィールドをご参照ください。

Parquet データ型: STRING		 5

フローログの使用の管理

デフォルトでは、 ユーザーにはフローログを使用するためのアクセス許可がありません。フローログを作成、説明、削除するアクセス権限をユーザーに付与するユーザーポリシーを作成できます。詳細については、Amazon EC2 API リファレンスの「IAM ユーザーに対する Amazon EC2 リソースに対するアクセス許可の付与」を参照してください。

フローログを作成、説明、削除する完全なアクセス許可をユーザーに付与するポリシー例を次に示します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteFlowLogs",
        "ec2:CreateFlowLogs",
        "ec2:DescribeFlowLogs"
      ],
      "Resource": "*"
    }
  ]
}

発行先が CloudWatch Logs であるか Amazon S3 であるかにより、追加の IAM ロールとアクセス許可の設定が必要になります。詳細については、Amazon CloudWatch Logs の Transit Gateway フローログレコードおよび Amazon S3 の Transit Gateway フローログレコード を参照してください。

Transit Gateway Flow Logs の料金

Transit Gateway フローログを発行すると、提供されたログに対するデータインジェスト料金とアーカイブ料金が適用されます。提供されたログの発行に伴う料金の詳細については、「Amazon CloudWatch の料金」を開き、[有料利用枠][ログ] を選択して、[提供されたログ] を見つけます。