Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
EC2のインタフェースにフローログに、NACLで拒否した筈のIPに関するログが表示される。
バージニア北部リージョンで次のようにアーキテクチャを構成しました。
- VPCを一つだけ作成。デフォルトVPCは削除
- VPC内にサブネットを1つだけ作成。パブリックサブネット。
- サブネットにEC2を1台だけ起動。
- フローログをEC2にアタッチされているインターフェースにのみ設定。VPCとサブネットには設定しない (このリージョンにはフローログが見つかりませんと表示される状態)
- EC2を起動したサブネットにアタッチしているNACLのインバウンド・アウトバウンドルールで、ルール番号1に全てIP・ポートを拒否するルールを設定。
この設定の元でCWに送信されるログを確認したところ、様々なGIP・ポートが送信元であるトラフィックの、EC2に対するアクセス拒否のログが継続的に観測されました。
私の想定では、ログは一切生成されないというものでした。理由は、NACLが一切のトラフィックを拒否しており、フローログはEC2のインターフェースでしか収集しない設定にしたつもりだからです。
ログが生成され続けるということは、EC2にまでトラフィックが到達しているということなのでしょうか。
- 新しい順
- 投票が多い順
- コメントが多い順
私のAWSアカウントでも同様の設定を行ってログが記録されることを確認しました。
ドキュメントでは次のように記載されていて、おそらくですがENIを対象としたVPCフローログの場合はそのENIに対しての通信のログのみに絞って (ネットワークACLでブロックされてるかされていないか関係なく) 取得しているのではないかと思います。
なので実際にはネットワークACLで拒否されていればEC2までは通信できていないと思います。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは、Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose に発行できます。フローログを作成したら、設定したロググループ、バケット、または配信ストリームのフローログレコードを取得して表示できます。
こちらもお手元で実施頂き恐縮です。私もあれから調べていたんですが、おっしゃる通りの内容がBlackBeltの資料にありました。更にこの資料によると、特定EC2のENIに絞りたい場合はVPC Traffic Mirroring を使えば良いみたいです。 https://www.youtube.com/watch?v=JAzsGRS_o4c&t=4s(スライド94, 95枚目)※釈迦に説法で失礼しました。
そうですね、正確にパケットキャプチャを取得したい場合はOS内でtcpdumpを使用したりトラフィックミラーリングをご利用されるのがよいかと思います。 https://docs.aws.amazon.com/ja_jp/vpc/latest/mirroring/what-is-traffic-mirroring.html