Amazon VPCフローログで集約間隔を1分に設定可能

AWS運用自動化サービス「Cloud Automator」

こんにちは、技術1課の小倉です。
2020/2/5にアップデートがあり、Amazon VPCフローログで集約間隔を1分に設定できるようになりました。

Amazon VPC フローログで、集約間隔を 1 分に設定できるようになりました

今まではCloudWatch Logsなどに10分程度かかってから出力されていましたが、出力されるまでの時間が短縮しています。ですから、フローログによる通信調査や検知などが、よりリアルタイムに近い状況でできます。

VPC フローログ作成

2020/2/16現在、確認した限り、VPCフローログは設定変更をすることができません。CLIのオプションも確認しましたが、delete, create, describeしかありませんでした。

もし既存で設定済みで集約間隔を1分に変更したい場合はVPCフローログの追加/削除が必要です。ログが欠損しないようにまずは1分の設定を追加して、ログが重複して取得されたことを確認してから、既存の10分の設定を削除するのがよいと思います。

フローログはVPC単位とENI単位で作成できます。
VPC単位であればVPCに含まれるすべてのENIでフローログを取得し、ENI単位であれば設定したENIのみフローログを取得できます。

VPC単位 : VPC – 対象のVPCを選択 – アクション – フローログの作成
ENI単位 : EC2 – ネットワークインターフェース – 対象のENIを選択 – アクション – フローログの作成

フローログの作成画面にMaximum aggregation intervalという項目が増え、1分か10分を選べます。CloudWatchログへの送信の場合は送信先ロググループとIAMロール、S3バケットへの送信であればS3バケットの事前作成が必要です。

今回は既存の集約間隔が10分と同じ送信先に集約間隔が1分のVPCフローログを追加しました。

自分の端末から対象のVPCにあるEC2へSSHログインして、ログの出力を確認します。
約1分後に同じログが2つ表示されました。予想では1分後に集約間隔1分のログ、10分後に集約間隔10分のログが表示されると考えていたのですが、予想とは違う結果でした。

まとめ

VPCフローログの集約間隔の既存設定は10分になっていて、設定変更は不可です。
ですから、既存設定の集約間隔を10分から1分に変更するには1分の設定を追加し、ログの欠損などがあるかもしれませんので、様子を見てから10分の既存設定を削除することで変更できます。また、集約間隔を1分に変更しても追加料金はかかりません。

AWS運用自動化サービス「Cloud Automator」