VPC Flow Logsを閲覧時にフィルタする方法

AWS運用自動化サービス「Cloud Automator」

セキュリティグループを正しく設定したつもりなのに、なぜか通信ができない…
そんなときはVPC Flow Logsをチェックしましょう。

VPC Flow LogsをONにしておけば、VPC内を流れるパケットのログを取ることができます。
また、セキュリティグループかNACLで許可あるいは拒否された場合の結果も、ログに残ります。
VPC FLow Logsを設定する方法は、下記のURLの手順の通りです。

参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#working-with-flow-logs

上記の設定が完了すれば、あとはCloudWatch LogsのログストリームにVPC Flow Logsが出力されます。
そのレコードには、以下の情報が含まれています。

CloudWatch Logsのコンソール画面でVPC Flow Logsを確認したときのスクリーンショット
しかし、出力される情報は数分間で何百行にも及ぶでしょう。以下の通り、フィルタを利用して必要な情報を絞り込みましょう。

参考: https://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/flow-logs.html#flow-logs-cw-alarm-example

  1. CloudWatchの画面へ遷移
  2. 左部メニューから「ログ」を選択
  3. VPC FLow Logsのロググループを選択
  4. ENI IDごとにログストリームがあるため見たいENIを選択
  5. 検索フィルタに以下の文法で入力し、絞り込む

宛先ポート22 かつ プロトコルがTCP かつ SGかNACLでREJECTされているパケット

接続元IPが10.0.0.10のパケット

宛先IPが10.0.0.10のパケット

ちょっとフィルタリングのルール(文法)が独特なので、いつも忘れてしまいます。
備忘的なブログでした。

AWS運用自動化サービス「Cloud Automator」