VPC環境内のトラフィックログを可視化できるFlow Log Centerの紹介

SLS Flow Log Centerの概要

SLSでのFlow Log Centerは、VPCのFlow Logに合わせてカスタマイズできる便利なアプリケーションです。「モニタリングセンター（Monitoring Center）」と「ドメイン間分析（Inter-Domain Analysis）」の二つの機能に分けられます。

SLS Flow Log Centerを利用することで、クエリを入力する必要がなく、各選択肢を選ぶだけでネットワークフローログデータをグラフやテーブル形式で表示できます。これにより、ネットワークフローログを効率的に管理および分析し、ネットワークセキュリティの状態に関する包括的な洞察を得て、迅速に対応できます。

本記事では主にFlow Log Centerの活用シナリオについてご案内いたします。注意事項や料金などの詳細情報は公式ドキュメントをご参照ください。

SLS Flow Log Centerの有効化/設定

SLS Flow Log Centerを有効にするためには、まずVPCコンソールで対象のVPCのFlow Logを作成し、ログデータをSLSに送信する設定を行います。

その後、SLSコンソールでFlow Log Center機能の設定を行います。これにより、特定のVPCに関連するネットワークフローデータが自動的に収集され、リアルタイムでの分析や可視化が可能になります。Flow Log Centerが使用できるまで、主に二つのステップが必要となります。

STEP1.VPCコンソールでFlow Logを作成します。

Flow Logを作成する際に、トラフィックログを保存するログストア (logstore) を選択するステップがあるので、事前にSLSがアクティブ化されていることを確認しておきましょう。Flow Logの詳細な作成手順は公式ドキュメントCreate and manage a flow logをご参照ください。　　　

【フローログの作成画面における必須な設定項目】

Flow Log Name：設定します。
Resource Type：VPC、VswitchまたはENIの中からいずれかを選択します。
Data Transfer Type：All Traffic、Allowed TrafficまたはDenied Trafficの中からいずれかを選択します。
Project：既存のProjectを選択するか、新規で作成します。
Logstore：既存のLogstoreを選択するか、新規で作成します。

STEP2.SLSコンソールでFlow Log Centerを設定します。

SLSコンソールにアクセスして、Log ApplicationでFlowlog Log Centerを見つけてクリックします。

Flow Log Centerの管理画面にアクセスし、新しいインスタンスを作成します。

【設定項目】

Instance ID：InstanceIDを設定します。デフォルト値のままでも問題ありません。
Instance 名：インスタンス名を設定します。
Project：VPCでFlow Logを作成した際に使用したProjectを選択します。Region：VPCのリージョンを選択します。
Logstore：VPCでFlow Logを作成した際に使用したLogstoreを選択します。

作成後、インスタンスIDをクリックすると該当Flow Logの分析ビュー画面に遷移します。

SLS Flow Log Centerの活用シナリオ

SLS Flow Log Centerは、ワンクリックするだけで、フローログのトラフィック方向、コンポーネント分析、セキュリティポリシー、ネットワーク脅威などの分析シナリオを簡単にできます。

このブログでは、七つの活用シナリオをご紹介します。①〜④はモニタリングセンターの機能です。

①VPC内のトラフィックとポリシーの概要確認

この「Overview」ページで確認できるのは、主に、VPCフローログのACLポリシーの状況、つまり許可（Accept）と拒否（Reject）、IN方向とOUT方向のトラフィックデータ、およびアクセスリージョンのデータが含まれます。

②ネットワークポリシーの統計

「Policy Statistics」ページでは、ソースとデスティネーションのIP、Portを指定することで、許可と拒否のログを確認したり、許可と拒否の両方の上位100の詳細をクエリしたりできます。

③特定のENI（Elastic Network Interface）のトラフィック分析

「ENI Traffic」ページを使用することで、特定のENIを指定してトラフィック分析が可能です。通常、ECSインスタンスではトラフィックの詳細（許可・拒否）を直接監視することはできませんが、ENIを通じてECSインスタンスのトラフィックをFlow Log Centerに取り込み、可視化や分析することが可能です。
※ENIは、VPC内のECSインスタンスにアタッチできる仮想ネットワークインタフェースです。

④ ECS間のトラフィック分析

「Inter‐ECS Traffic」ページにおいて、ECS間トラフィック分析は、ソースECSからターゲットECSまでのトラフィックの詳細を提供できます。

⑤ネットワークセグメント間のトラフィック分析

「CIDR Block Settings」ページでは「Inter-Domain Analysis」を有効化すると、ネットワークセグメント設定機能がオンになり、ネットワークセグメント情報のカスタム追加をサポートできます。定義できるCIDR Blocksは「イントラネット（私有网络）」、「Alibaba Cloud内部ネットワーク（阿里云内部云服务）」及び「インターネット（互联网）」です。
※以下のスクリーンショットは Alibaba Cloudコンソールの画面です。本来は英語で表示されるべき部分が、中国語で表示されている箇所があります。現在、Alibaba Cloudに対して表示言語の修正を要請しています。

「CIDR Block Settings」- 「Inter-Domain Analysis」をオンにすると、左側に「Inter-Domain Traffic」などのタブが表示され、「Inter-Domain Traffic」ではネットワークセグメント間のトラフィックログを確認することができます。

⑥ECSからのトラフィック分析

前述した「Inter-Domain Analysis」をオンにすると、「ECS-to‐Domain Traffic」ページでECSからのトラフィックログの取得もできるようになりました。

⑦ 脅威インテリジェンス

「Threat Intelligence」ページで、過去30日間に出現した脅威インテリジェンス情報が提供され、IPアドレスが包括的にスキャンされます。 セキュリティ上リスクが想定されるIPがある場合は、脅威インテリジェンスに表示されます。

以上がSLS Flow Log Centerでフローログを確認する活用シナリオです。ユーザーの要件によりソースやターゲットなどの項目を選択することだけでトラフィックログを簡単に確認できます。もちろん、直接該当のLogstoreにアクセスして検索欄にクエリ文を入力してログを検索する方法もありますので、公式ドキュメントもご確認ください。

まとめ

VPCのFlow LogとSLSのFlow Log Centerを組み合わせることで、クラウドネットワークの可視性を大幅に向上させることができ、トラフィックの監視やセキュリティの強化、ネットワークパフォーマンスの最適化にお役立てください。

関連サービス