AWS VPCフローログ Athena統合をお試し

始めに
全体的な流れ
手順詳細
後片付け
まとめ

始めに

今回はAthena統合を使ってVPCフローログの解析を行ってみます。

Athena統合

Athena を使用して、このセクションにリストされている AWS のサービスからのデータをクエリすることができます。

AWS のサービスにおける Athena との統合 - Amazon Athena

AWS の Athena との統合の詳細について学びます。

VPCフローログの解析でAthena統合を使うと何がうれしいの？

Athenaでクエリを実行するまでの手間が軽減されます。具体的にはAthenaでのテーブル作成やパーティション操作が不要になります。また、代表的なクエリが事前定義されているため、すぐにクエリを実行できるようになります。

Amazon Athena を使用したフローログのクエリ

公式サイトにも情報が載っています。

Amazon Athena を使用したフローログのクエリ - Amazon Virtual Private Cloud

Amazon Athena は、標準の SQL を使用して、フローログなどの Amazon S3 内のデータを分析できる対話型のクエリサービスです。VPC フローログで Athena を使用すると、VPC を通過するトラフィックに関する実用...

Athena統合は、CloudFormationを使います。テンプレートが自動で用意されるため、全体的な操作は簡単です。

では早速、AWSマネジメントコンソールより操作していきます。

全体的な流れ

VPCフローログをS3に取得します
Athena統合を行うます（CloudFormationテンプレート＆スタック作成）
Enjoy Athena！

手順詳細

VPCフローログの設定は、デフォルト設定＆保存先S3で、仕掛け済みとします。（手順がわからない場合は以下の前回記事を参考にします）

AWS VPCフローログの取得と確認

始めに今回はVPCフローログの取得と確認について書いていきます。初歩的な内容となります。 VPCフローログの使いどころとしては、「通信確認」「意図しない通信監視」「監査対応」等です。 VPCフローログ VPC フローログは、VPC のネッ...

1. Athena統合を実行

フローログを選択して「アクション」→「Athena統合を生成」をクリックします。

Athena統合の設定画面が開くため、次のように入力します。

ロード頻度のパーティション：毎日
CloudFormationテンプレートS3バケット：S3バケットのARNを入力
クエリ結果S3バケット：S3バケットのARNを入力

本設定ではCloudFormationテンプレートやクエリ結果はS3バケットの直下に作成されます。もしフォルダで分けたい場合は別途オプションで「/define」とか「/result」を入力します。

Athena統合の作成を押下すると、画面上部に「正常に作成されました」と表示されます。この段階でS3バケットにはCloudFormationテンプレートファイルが作成されます。

2. CloudFormationスタックの作成

次に、画面上部の「CloudFormationスタックの生成」をクリックします。

CloudFormationテンプレートのスタックの作成画面が表示されます。テンプレートの場所は自動で入力反映されています（クリック時のURLに含まれている仕組み）。

今回はまず動かしてみたいので、明示的に入力すべき項目は「スタックの名前」のみです。他はデフォルト値から変更しなくてＯＫです。

＜以下画面は変更なし＞

＜以下画面はスタックの名前を入力＞

＜以下画面は変更なし＞

＜以下画面はチェックを押下して「スタックの作成」をクリック＞

スタックの作成は２分程度で終わるため、完了後（CREATE_COMPLETE）にAthenaを開きます。

3. Athenaでクエリを実行

Athenaサービスにアクセスして、クエリエディタを開きます。
ワークグループはCloudFormationで作成された「なんちゃらWorkgroup」を選択します。

最近のクエリタブを開いてみると、既に色々とあります。

クエリ

vpcFlowLogsShrdpTraffic — SSH および RDP トラフィック。
vpcFlowLogStrafficFrmsrcaddr — 特定の送信元 IP アドレスについて記録されたトラフィック。
vpcFlowLogStopTalkingSubnets — 記録されたトラフィックが最も多くある 50 個のサブネットの ID。
vpcFlowLogstotalBytestRansFerred — 記録されたバイト数が最も多い送信元と送信先 IP アドレスの 50 個のペア。
vpcFlowLogsRejectedTraffic — セキュリティグループまたはネットワーク ACL に基づいて拒否されたトラフィック。
vpcFlowLogStrafficFrmsrcaddr — 特定の送信元 IP アドレスについて記録されたトラフィック。
vpcFlowLogsAdminPortTraffic — 管理用ウェブアプリポートに記録されたトラフィック。

Amazon Athena を使用したフローログのクエリ - Amazon Virtual Private Cloud

ここでは「vpcFlowLogStopTalkingSubnet」を選択して、クエリを実行してみます。

このように結果が表示されます。実行した段階で結果はS3バケット内に保存され、Athena画面からもCSV形式でダウンロード可能です。

事前定義クエリは代表的なものに限られていますが、目的に対するSQL文がわかるため、これをベースにアレンジを加えていくのもありかと思います。

後片付け

Athena統合によるVPCフローログを確認した後、後片付けを行います。仕掛けておいたVPCフローログやログ自体も消して構わない場合は、次のステップで実施します。

CloudFormationのスタックを削除
→ 【注意】Athena内のワークグループが削除できずに失敗することがあります。その際はAthena内のワークグループを手動で削除し、再度スタックの削除を実行すると成功します。
VPCフローログの設定を削除
S3バケット内の不要ファイルを削除
→ 削除対象は「CloudFormation定義ファイル」「Athenaクエリ結果」「VPCフローログ」です。S3バケット自体が不要であれば、丸ごと削除しちゃいます。

Athena内のワークグループの手動削除

ワークグループメニューより、該当ワークグループ（なんちゃらWorkGroup）を選択して、「アクション」→「削除する」で削除できます。

まとめ

Athena統合を使って、VPCフローログのクエリを実行してみました。代表的なクエリで結果を見たい場合は、簡単な設定で数分後には実行できる手頃さがあります。利用してみる価値は十分にあると感じました。

最後までご覧いただき、ありがとうございました。