見出し画像

【AWS】VPC フローログ解析

こんにちは、隊長@音楽家兼エンジニア#今日はエンジニアです。

AWSリソース内から通信ができない!VPCフローログを確認してくれ!と言われたものの、素早くコマンド作れずに試行錯誤してしまったので備忘録にメモ。

フローログはS3に格納されている前提です。

下準備


aws s3 sync s3://{bucket_name}/AWSLogs/{AWSAccountID}/vpcflowlogs/{Region}/YYYY/MM/DD/ {Dest_FilePath}

s3 syncは--dryrunオプション使えるので、不安な人はどーぞ。
私はビビリなので使いたい派です。

sourceアドレスが10.1.1.1

gzip -dc  *.log.gz | awk '$4=="10.1.1.1"' | less

sourceアドレスが10.1.1.1、かつ開始時間昇順で並び替え


gzip -dc  *.log.gz | awk '$4=="10.1.1.1"' | sort -k 11,11


destアドレスが10.1.1.1、かつREJECTしたもの、かつ開始時間昇順で並び替え


gzip -dc  *.log.gz | awk '$5=="10.1.1.1"' | awk '$13=="REJECT"' | sort -k 11,11

後の応用はご自由に。
どなたかのお役に立てば幸いです。


参考


https://ksmzn.hatenablog.com/entry/2014/02/27/175743
https://qiita.com/richmikan@github/items/cc4494359b1ac2f72311
https://qiita.com/tofu511/items/3ecf9c5361d08b5c6eae

この記事が気に入ったらサポートをしてみませんか?