AWS フロー・ログ・データの表示

Amazon Web Service (AWS) 統合を経由して受信されるフロー・ログには、フロー情報内の追加のプロパティーが含まれています。

このタスクについて

標準の正規化フロー・プロパティーに加えて、AWS フロー・ログでは以下のプロパティーが表示されます。
  • インターフェース名 (このフィールドを送信するすべての IPFIX フローで使用可能)
  • リージョン (このフィールドを送信するすべての IPFIX フローで使用可能)
  • ファイアウォール名 (このフィールドを送信するすべての IPFIX フローで使用可能)
  • ファイアウォール・イベント (列挙型、このフィールドを送信するすべての IPFIX フローで使用可能)
  • AWS アクション (列挙型)
  • AWS ログ状況 (列挙型)
  • AWS アカウント ID
  • VPC ID 7.5.0
  • サブネット ID 7.5.0
  • インスタンス ID 7.5.0
次の表は、各列挙型フィールドのストリング記述を示しています。
表 1. AWS 列挙型ストリング
列挙型フィールド ストリング記述
ファイアウォール・イベント
「ファイアウォール・イベント」フィールドの数値は、以下の記述にマップされます。
  • 0 = 無視
  • 1 = フローの作成
  • 2 = フローの削除
  • 3 = フローの拒否
  • 4 = フローのアラート
  • 5 = フローの更新
AWS アクション
「AWS アクション」フィールドの数値は、以下の記述にマップされます。
  • 0 = N/A
  • 1 = 受け入れ
  • 2 = 拒否
AWS ログ状況
「AWS ログ状況」フィールドの数値は、以下の記述にマップされます。
  • 0 = N/A
  • 1 = OK
  • 2 = データなし
  • 3 = データのスキップ

手順

列挙型プロパティーの記述を照会結果に含めるには、LOOKUP 関数を AQL 検索ストリングに含める必要があります。
  1. 「ネットワーク・アクティビティー」 タブをクリックします。
  2. 「拡張検索 (Advanced Search)」 ボックスで、検索に含めるフィールドの LOOKUP を含む AQL 照会を作成します。

    次の例は、AWS フロー・ログ内の各列挙型フィールドに対する LOOKUP ステートメントを示しています。

    LOOKUP('firewall event', "firewall event")
    LOOKUP('aws action', "aws action")
    LOOKUP('aws log status', "aws log status")
    例えば、以下の照会は、WHERE 節内で LOOKUP を使用し、受け入れられたフローをアプリケーション別にグループ化します。
    SELECT APPLICATIONNAME(applicationid), count(*) as NumFlows FROM flows 
WHERE LOOKUP('aws action', "aws action") == 'Accept' 
GROUP BY applicationid ORDER BY NumFlows DESC
    この例では、照会は、SELECT 節内で LOOKUP を使用して、AWS 環境内の受け入れられたフローと拒否されたフローの数を表示します。
    SELECT LOOKUP('aws action', "aws action"), count(*) as NumFlows 
FROM flows WHERE "aws action" > 0 GROUP BY "aws action" 
ORDER BY NumFlows DESC LAST 7 DAYS