SGやネットワークACLによって拒否されたトラフィックをVPCフローログとCloudWatch Logs Insightで確認する

aws

VPC内のトラフィックを許可/拒否する設定に、セキュリティグループとサブネットレベルのネットワークACLがある。 セキュリティグループではインバウンドで許可されたリクエストに対するレスポンスはアウトバウンドの設定に関わらず許可されるが、ネットワークACLはリクエストとレスポンスそれぞれに対してステートレスに判定する。

これらによってトラフィックが拒否されると VPCフローログの action が REJECT になるので、 CloudWatch Logs に出力して Insights で次のようなクエリを実行すると 特定の eni において src/dst ごとに拒否された数を確認できる。

stats count() as count by srcAddr, dstAddr
| filter action = 'REJECT' and interfaceId in ['eni-aaaaaa', 'eni-bbbbbb']
| sort byte count
| limit 200