フロー・ログの有効化

サブネット、インスタンス、ロード・バランサまたはネットワーク・ロード・バランサに対してVCNフロー・ログを有効にします。

• コンソール
• CLI
• API

• 1. ナビゲーション・メニューを開き、「ネットワーキング」、「ネットワーク・コマンド・センター」グループにある「フロー・ログ」の順にクリックします。
  2. 「Enable flow logs」をクリックします。
  3. 「基本情報」パネルで、フロー・ログを一意に識別する名前を入力します。名前は後で編集できます。
  4. 「フロー・ログの保存先」リストから、ログ・グループを選択するか、新しいログ・グループを作成します。
     1. 「Create new log group」を選択します。
     2. ログ・グループを一意に識別する名前を入力します。名前は後で編集できます。
     3. 「コンパートメント」リストから、コンパートメントを選択します。
     4. オプションで、後でログ・グループの識別に役立つ「説明」を入力します。
  5. 「取得フィルタ」リストから、取得フィルタを選択するか、新しいフィルタを作成します。
     1. 「新規取得フィルタの作成」を選択します。
     2. 取得フィルタを一意に識別する名前を入力します。名前は後で編集できます。
     3. 「コンパートメント」リストから、コンパートメントを選択します。
     4. 「サンプリング・レート」リストから、取得するネットワーク・フローの割合を選択します。ログ情報は、有効化ポイントのすべてのトラフィックの指定された割合部分に対してのみ取得されます。
     5. 少なくとも1つのルールを作成します。
        取得フィルタ・ルールは、順番に調査され、一致すれば実行されます。最初の一致が検出されると、残りのルールは調査または実行されません。ルールの順序を変更すると、取得フィルタの動作が変わります。取得フィルタには最大10個のルールを使用できます。ルールの動作の例は、取得フィルタおよびルールを参照してください。

        各ルールでは、トラフィックの方向(イングレスまたはエグレス)、トラフィックのソースまたは宛先のIPv4 CIDRまたはIPv6接頭辞、またはパケットに使用されるIPプロトコル(TCP、UDP、ICMP、ICMPv6)に基づいてパケットを含めるか除外するかを指定できます。各プロトコル・タイプには、そのプロトコルに適した追加オプションがあります。

     6. 「拡張オプションの表示」で、タグを適用できます。リソースの作成権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用すべきかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に連絡してください。
     7. 「取得フィルタの作成」をクリックします。
  6. 「次へ」をクリックします。
  7. 「Add enablement point」をクリックします。
  8. 「有効化ポイントの追加」パネルで、有効化ポイント・タイプを選択します。
     • 仮想クラウド・ネットワークは、VCN内のすべてのサブネット内のすべてのVNICのフロー・ログを取得します。
     • サブネットは、サブネット内のすべてのVNICのフロー・ログを取得します。
     • リソースでは、特定のインスタンス、ネットワーク・ロード・バランサまたは1つ以上のVNICのフロー・ログを取得できます。
  9. 「続行」をクリックします。
     1. 仮想クラウド・ネットワークのフロー・ログを有効にするには、リストからVCNを選択します。
     2. サブネットのフロー・ログを有効にするには、リストからVCNを選択し、サブネットを選択します。
     3. リソースのフロー・ログを有効にするには、リストからリソース・タイプを選択します。「インスタンスVNIC」、「ネットワーク・ロード・バランサ」または「VNIC OCID」を選択できます。
     4. 「インスタンスVNIC」または「ネットワーク・ロード・バランサ」を選択した場合:
        • リストからVCNを選択し、次にサブネットを選択します。
        • サブネット内の使用可能なリソースのリストから選択します。

        ノート
        
        有効化するリソースが表示されない場合は、リソースを含むコンパートメント、VCNおよびサブネットを選択していることを確認してください。
     5. 「VNIC OCID」を選択した場合は、フロー・ログを取得するVNICごとにOCIDを入力します。
     6. 「有効化ポイントの追加」をクリックします。
     7. 「次へ」をクリックします。
     8. フロー・ログ情報を確認し、「フロー・ログの有効化」をクリックします。

• フロー・ログを作成する前に、まずログ・グループと取得フィルタを作成する必要があります。

  oci logging log createコマンドと必要なパラメータを使用して、ログ・グループにフロー・ログを作成します:

  oci logging log create --display-name display_name --log-group-id log_group_OCID --log-type SERVICE
  --is-enabled true --profile profile_name --configuration file://create_log.json  [OPTIONS]

  この例では、フロー・ログ構成情報は、指定されたファイルcreate_log.jsonに含まれています。例:

  {
      "compartment-id": "compartment_OCID",
      "source": {
          "resource": "resource_OCID",
          "service": "flowlogs",
          "source-type": "OCISERVICE",
          "category": "subnet",
          "parameters": {
              "capture_filter":"capture_filter_OCID"  
              }
      }
  }

  CLIコマンドのパラメータおよび変数オプションの完全なリストは、コマンドライン・リファレンスを参照してください。

• フロー・ログを作成する前に、まずログ・グループと取得フィルタを作成する必要があります。

  CreateLog操作を実行して、ログ・グループにフロー・ログを作成します。例:

  POST /api_version/logGroups/log_group_OCID/logs
  <authorization and other headers>
  {"displayName":"display_name",
     "logType":"SERVICE",
     "isEnabled":true,
     "configuration":   
      {"source":     
  	   {"sourceType":"OCISERVICE",
  	     "service":"flowlogs",
  		 "resource":"resource_OCID",
  		 "category":"subnet",
  		 "parameters":
  		   {"capture_filter":"capture_filter_OCID",
  		     "enablementPointType":"Subnet"}
  		}
  	}
  }