【AWS】VPC フローログ解析
こんにちは、隊長@音楽家兼エンジニア#今日はエンジニアです。
AWSリソース内から通信ができない!VPCフローログを確認してくれ!と言われたものの、素早くコマンド作れずに試行錯誤してしまったので備忘録にメモ。
フローログはS3に格納されている前提です。
下準備
aws s3 sync s3://{bucket_name}/AWSLogs/{AWSAccountID}/vpcflowlogs/{Region}/YYYY/MM/DD/ {Dest_FilePath}
s3 syncは--dryrunオプション使えるので、不安な人はどーぞ。
私はビビリなので使いたい派です。
sourceアドレスが10.1.1.1
gzip -dc *.log.gz | awk '$4=="10.1.1.1"' | less
sourceアドレスが10.1.1.1、かつ開始時間昇順で並び替え
gzip -dc *.log.gz | awk '$4=="10.1.1.1"' | sort -k 11,11
destアドレスが10.1.1.1、かつREJECTしたもの、かつ開始時間昇順で並び替え
gzip -dc *.log.gz | awk '$5=="10.1.1.1"' | awk '$13=="REJECT"' | sort -k 11,11
後の応用はご自由に。
どなたかのお役に立てば幸いです。
参考
https://ksmzn.hatenablog.com/entry/2014/02/27/175743
https://qiita.com/richmikan@github/items/cc4494359b1ac2f72311
https://qiita.com/tofu511/items/3ecf9c5361d08b5c6eae