VPCs、サブネット、またはネットワークインターフェイスのフローログを作成できます。
前提条件
-
送信先の Amazon Data Firehose 配信ストリームを作成します。ソースとして [Direct Put] を使用します。詳細については、「Creating an Amazon Data Firehose Delivery Stream」を参照してください。
-
フローログを別のアカウントに発行する場合は、「クロスアカウント配信のための IAM ロール」の説明に従って必要な IAM ロールを作成します。
Amazon Data Firehose に発行するフローログを作成するには
-
次のいずれかを行います:
-
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。ナビゲーションペインで、[Network Interfaces] を選択してください。ネットワークインターフェイスのチェックボックスをオンにします。 -
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。ナビゲーションペインで、[Your VPCs(お使いの VPC)] を選択します。VPC のチェックボックスをオンにします。 -
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。ナビゲーションペインで、[サブネット] を選択してください。サブネットのチェックボックスをオンにします。
-
-
[アクション]、[フローログの作成] を選択します。
-
[Filter] (フィルター) で、ログに記録するトラフィックの種類を指定します。
-
[Accepted] (承認) - 承認されたトラフィックのみをログに記録します
-
[Rejected] (拒否) - 拒否されたトラフィックのみをログに記録します
-
[All] (すべて) - 承認されたトラフィックと拒否されたトラフィックをログに記録します。
-
-
[Maximum aggregation interval] で、フローがキャプチャされ、1 つのフローログレコードに集約される最大期間を選択します。
-
[Destination] (送信先) で、次のいずれかのオプションを選択します。
-
[同じアカウント内の Amazon Data Firehose に送信] — 配信ストリームと監視するリソースは同じアカウントにあります。
-
[異なるアカウント内の Amazon Data Firehose に送信] — 配信ストリームと監視するリソースは異なるアカウントにあります。
-
-
Amazon Data Firehose 配信ストリーム名には、作成した配信ストリームを選択します。
-
[クロスアカウント配信のみ] [サービスアクセス]では、ログを発行するアクセス許可を持つクロスアカウント配信用の既存の IAM サービスロールを選択するか、[アクセス許可を設定] を選択して IAM コンソールを開き、サービスロールを作成します。
-
[ログレコード形式] で、フローログレコードの形式を指定します。
-
デフォルトのフローログレコード形式を使用するには、[AWS のデフォルト形式] を選択します。
-
カスタム形式を作成するには、[カスタム形式] を選択します。[ログの形式] で、フローログレコードに含めるフィールドを選択します。
-
-
[追加のメタデータ]で、Amazon ECS からのメタデータをログ形式に含めるかどうかを選択します。
-
(オプション) フローログにタグを適用するには、[タグの追加] をクリックします。
-
[フローログの作成] をクリックします。
コマンドラインを使用して Amazon Data Firehose に発行するフローログを作成するには
以下のいずれかのコマンドを使用します。
-
create-flow-logs
(AWS CLI) -
New-EC2FlowLog (AWS Tools for Windows PowerShell)
次の AWS CLI の例では、指定した VPC のすべてのトラフィックをキャプチャするフローログを作成し、そのフローログを同じアカウント内の指定された Amazon Data Firehose 配信ストリームに配信します。
aws ec2 create-flow-logs --traffic-type ALL \ --resource-typeVPC\ --resource-idsvpc-00112233344556677\ --log-destination-typekinesis-data-firehose\ --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
次の AWS CLI の例では、指定した VPC のすべてのトラフィックをキャプチャするフローログを作成し、そのフローログを別のアカウント内の指定された Amazon Data Firehose 配信ストリームに配信します。
aws ec2 create-flow-logs --traffic-type ALL \ --resource-typeVPC\ --resource-idsvpc-00112233344556677\ --log-destination-typekinesis-data-firehose\ --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream\ --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole\ --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
フローログを作成することで、配信ストリーム用に設定した送信先からフローログデータを取得することができます。
