Amazon VPC Flow Logsのモニタリング統合

EOL通知

今年後半に、この統合のサポートを終了する予定です。AWS VPC フローログ用に設計されたダッシュボードを含むバンドルをインストールすることで、AWS VPC フローログをセットアップできるようになりました。AWS VPC フローログモニタリングの設定方法を参照してください。

アマゾンの強化された AWS VPC Flow Logs では、VPC 内のネットワークインターフェイスに出入りする IP トラフィックの情報を取得することができます。VPC Flow LogsとNew Relicの統合により、パブリックIPやVPC自体の内部で受け入れられた/拒否されたトラフィックを監視するために、プライベートネットワークで生成されたすべてのネットワークログを解析することができます。

New Relic VPC Flow Logs の統合では、AWS のデフォルトフォーマットのログしか処理できません。VPC Flow Logs フォーマットの詳細については、 Amazon's VPC Flow Logs documentation を参照してください。

要件

重要

Metric streamsとAPI Pollingモードの両方でAWSアカウントを統合した場合、Metric streamsの統合を利用したプロバイダーアカウントのVPCログのみを見ることができます。

VPCログがNew Relicにデータを送信するためには、New Relicが提供するLambda関数を有効にして、インジェスト作業を行う必要があります。ポーリングインターバルを持つ他のAWSインテグレーションとは異なり、VPC Flow Logsインテグレーションでは、Lambdaファンクションにデータが送信されたときにデータを受信します。VPC Flowログデータのプッシュレートは15秒です。

VPCフローログの監視を有効にする

New Relic のインジェストサービスにデータを送信するために、New Relic は CloudWatch ログからのプッシュをサポートし、S3 バケットからデータをフェッチする特定の Lambda 関数を提供しています。Lambda関数を割り当て、VPC Flow Logsの監視を有効にするには。

Serverless リポジトリから新しいAWS Lambda 関数を作成します。
Lambda > Create Function > Browse serverless App repository
に移動し、
Show apps that create custom IAM roles or resource policies
のボックスをオンにして、NewRelic-log-ingestion を検索します。
LICENSE_KEY環境変数に New Relic アカウント
を入力します。
すべてのオプションのパラメータを確認し、ユースケースに基づいて適合させる。
Deploy
を選択して、新しい CloudFormation スタック、 newrelic-log-ingestionという新しい関数、および必要なロールを作成します。
newrelic-log-ingestion関数に移動します。
引き続き、ストリームログをLambda関数に流す手順を行います。

ヒント

newrelic-log-ingestion関数には、(AWS が推奨する) 最小限のアクセス許可を含む AWSLambdaBasicExecutionRole ポリシーが必要です。インストール時にカスタム IAM ロール名を定義できます。それ以外の場合は、CAPABILITY_IAM を承認する必要がある適切なロールが作成されます。

ラムダ関数にログを流す

Lambda関数にログを流すため。

CloudWatch マネジメントコンソールから
Logs
を選択します。
/aws/vpc/flow-logs
を選択し、
Actions > Stream to AWS Lambda
をクリックします。
VPC Flow ログ監視を有効にしたときに作成したNew Relic Lambda 関数newrelic-log-ingestion ( ) を選択し、
Next
を選択します。
デフォルトの
Log format
(Amazon VPC フローログ) をそのままにして、
Next
を選択します。
設定を確認して、
Start streaming
を選択してください。

トラフィックログの設定

AWS内からトラフィックログを設定するには、3つのモードがあります。

タイプ	説明
受け入れられたトラフィック	ログは右記のトラフィックのみを捉えます
拒否されたトラフィック	拒否されたトラフィックのみがログに反映される
すべてのトラフィック	受け入れられたトラフィックと拒否されたトラフィックの両方がログに表示されます。

ポーリング頻度

ポーリング間隔を持つ他のAWSインテグレーションとは異なり、VPC Flow Logsインテグレーションは、Lambdaファンクションにデータが送信されたときにデータを受信します。VPC Flowログデータのプッシュレートは15秒です。

処理されたAmazon VPC Flow Logsデータ

New Relic はこれらのログフィールドのみを Amazon VPC Flow Log records から収集します。

フィールド	説明
`version`	VPCフローログのバージョン。
`account-id`	フローログのAWSアカウントIDです。
`interface-id`	ログストリームが適用されるネットワークインターフェースのIDです。
`srcaddr`	送信元のIPv4アドレスまたはIPv6アドレスです。ネットワークインターフェースのIPv4アドレスは、常にそのプライベートIPv4アドレスです。
`dstaddr`	宛先のIPv4アドレスまたはIPv6アドレスです。ネットワークインターフェースのIPv4アドレスは、常にそのプライベートIPv4アドレスです。
`srcport`	トラフィックの送信元ポート。
`dstport`	トラフィックの宛先ポート。
`protocol`	トラフィックのIANAプロトコル番号です。詳しくは、Assigned Internet Protocol Numbersをご覧ください。
`packets`	キャプチャーウィンドウ内で転送されたパケット数。
`bytes`	キャプチャーウィンドウ内で転送されたバイト数。
`start`	キャプチャーウィンドウの開始時刻をUnix秒単位で指定します。
`end`	キャプチャーウィンドウが終了した時刻をUnix秒で指定します。
`action`	トラフィックに関連するアクションです。 `ACCEPT`: 記録されたトラフィックは、セキュリティグループまたはネットワーク ACL によって許可されました。 `REJECT`: 記録されたトラフィックは、セキュリティグループまたはネットワーク ACL によって許可されませんでした。
`log-status`	フローログの記録状態。 OKです。データは正常にCloudWatch Logsに記録されています。 `NODATA`: キャプチャウィンドウ中に、ネットワークインターフェイスとの間で送受信されるネットワークトラフィックはありませんでした。 `SKIPDATA`: キャプチャウィンドウ中に一部のフローログレコードがスキップされました。これは、内部容量の制約または内部エラーが原因である可能性があります。

VPCフローログのメトリクス

New Relic はこれらのトラフィックメトリクスを処理します。

指標	説明
`provider.bytes`	バイト数です。
`provider.packets`	パケットの数です。

VPCフローログの寸法

New Relic では、これらのディメンションを使用して、受け入れられたトラフィックや拒否されたトラフィックのメトリクスをスライスして表示することができます。

ディメンション	定義
`provider.action`	パケットが受け入れられたか、拒否されたか
`provider.destinationAddress`	送信先IPアドレス
`provider.destinationPort`	デスティネーションポート
`provider.interfaceId`	パケットが登録されているネットワークインターフェースID
`provider.privateDnsName`	プライベートDNS名
`provider.privateIp`	プライベートIP
`provider.protocol`	インターネットプロトコル番号
`provider.publicDnsName`	パブリックDNS名
`provider.publicIp`	パブリックIP
`provider.requesterManaged`	ユーザーまたはAWSによって作成されたネットワークインターフェースであることを示すインジケータ
`provider.sourceAddress`	送信元IPアドレス
`provider.sourcePort`	ソースポート
`provider.subnetId`	サブネットID
`provider.vpcId`	ネットワークインターフェースが属するVPC ID

この機械翻訳は、参考として提供されています。