翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS トランジットゲートウェイフローログ
<a name="tgw-flow-logs"></a>

トランジットゲートウェイフローログは AWS 、トランジットゲートウェイとの間で送受信される IP トラフィックに関する情報をキャプチャできる Transit Gateway の機能です。フローログデータは、Amazon CloudWatch Logs、Amazon S3、または Firehose に発行できます。フローログを作成したら、選択した送信先でそのデータを取得して表示できます。フローログデータはネットワークトラフィックのパスの外で収集されるため、ネットワークのスループットやレイテンシーには影響しません。ネットワークパフォーマンスに影響を与えるリスクなしに、フローログを作成または削除できます。Transit Gateway フローログは、「[Transit Gateway Flow Log のレコード](#flow-log-records)」で説明されている Transit Gateway のみに関連する情報をキャプチャします。VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報をキャプチャする場合は、VPC フローログを使用します。詳細については、「Amazon VPC ユーザーガイド」の「[VPC フローログを使用した IP トラフィックのログ記録](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)」を参照してください。

**注記**  
Transit Gateway フローログを作成するには、Transit Gateway の所有者である必要があります。ユーザーが所有者でない場合は、Transit Gateway の所有者からアクセス許可を付与する必要があります。

モニタリングされる Transit Gateway のフローログデータは、フローログレコードとして記録されます。これは、トラフィックフローについて説明するフィールドで構成されるログイベントです。詳細については、「[Transit Gateway Flow Log のレコード](#flow-log-records)」を参照してください。

フローログを作成するには、以下の内容を指定します。
+ フローログを作成するリソース
+ フローログデータを発行する送信先

フローログを作成後、データ収集と選択された送信先へのデータ発行が開始されるまでに数分かかる場合があります。フローログで、Transit Gateway のリアルタイムのログストリームはキャプチャされません。

フローログにタグを適用できます。タグはそれぞれ、1 つのキーとオプションの 1 つの値で構成されており、どちらもお客様側が定義します。タグは、目的や所有者などによって、フローログを整理するのに役立ちます。

フローログが不要になった場合には、それを削除することができます。フローログを削除すると、リソースのフローログサービスは無効になり、新しいフローログレコードは作成されず、CloudWatch Logs または Amazon S3 にも発行されません。フローログを削除しても、Transit Gateway の既存のフローログレコードやログストリーム (CloudWatch Logs の場合) またはログファイルオブジェクト (Amazon S3 の場合) は削除されません。既存のログストリームを削除するには、CloudWatch Logs コンソールを使用します。既存のログファイルオブジェクトを削除するには、Amazon S3 コンソールを使用します。フローログを削除した後で、データの収集が中止するまでに数分かかる場合があります。詳細については、「[AWS Transit Gateway フローログレコードを削除する](delete-flow-log.md)」を参照してください。

CloudWatch Logs、Amazon S3、または Amazon Data Firehose にデータを発行できる Transit Gateway のフローログを作成できます。詳細については次を参照してください:
+  [CloudWatch Logs に発行するフローログの作成 ](flow-logs-cwl-create-flow-log.md)
+ [Amazon S3 に発行するフローログの作成](flowlog-s3-create.md)
+ [Firehose に発行するフローログの作成](flow-logs-kinesis-create.md)

## 制限事項
<a name="flow-logs-limits"></a>

Transit Gateway フローログには、次の制限が適用されます。
+  マルチキャストトラフィックはサポートされていません。
+ Connect アタッチメントはサポートされていません。すべての Connect フローログはトランスポートアタッチメントの下に表示されるため、Transit Gateway または Connect トランスポートアタッチメントで有効にする必要があります。
+ Transit Gateway フローログは、アカウントごとにリソースごとに最大 250 のサブスクリプションをサポートします。この制限に達したリソースで追加のサブスクリプションを作成するには、まず既存のサブスクリプションを削除する必要があります。

## Transit Gateway Flow Log のレコード
<a name="flow-log-records"></a>

フローログレコードは、Transit Gateway のネットワークフローを表します。各レコードは、スペースで区切られたフィールドから成る文字列です。送信元、送信先、プロトコルなど、レコードにはトラフィックフローのさまざまなコンポーネントの値が含まれています。

フローログを作成するときは、フローログレコードのデフォルトの形式を使用するか、カスタム形式を指定できます。

**Topics**
+ [デフォルトの形式](#flow-logs-default)
+ [カスタム形式](#flow-logs-custom)
+ [使用可能なフィールド](#flow-logs-fields)

### デフォルトの形式
<a name="flow-logs-default"></a>

デフォルトの形式では、フローログレコードには、[使用可能なフィールド](#flow-logs-fields)テーブルに表示される順序でバージョン 2 から 6 のフィールドが含まれます 。デフォルトの形式をカスタマイズまたは変更することはできません。使用可能なすべてのフィールドまたはフィールドの異なるサブセットをキャプチャするには、代わりにカスタム形式を指定します。

### カスタム形式
<a name="flow-logs-custom"></a>

カスタム形式を使用して、フローログレコードに含めるフィールドと順序を指定します。これにより、ニーズに合ったフローログを作成し、関連のないフィールドを省略できます。カスタム形式を使用すると、発行されたフローログから特定の情報を抽出する別個のプロセスが不要になります。使用可能なフローログフィールドは任意の数指定できますが、少なくとも 1 つ指定する必要があります。

### 使用可能なフィールド
<a name="flow-logs-fields"></a>

次の表に、Transit Gateway フローログレコードの使用可能なすべてのフィールドを示します。**Version** 列には、フィールドが導入されたバージョンが表示されます。

Amazon S3 にフローログデータを公開する場合、フィールドのデータ型はフローログ形式によって異なります。形式がプレーンテキストの場合、すべてのフィールドは STRING 形式です。形式が Parquet の場合は、フィールドのデータ型の表を参照してください。

フィールドが特定のレコードに該当しないか、特定のレコードに対して計算できなかった場合、レコードでそのエントリには「-」記号が表示されます。パケットヘッダーから直接取得されないメタデータフィールドは、ベストエフォート近似値であり、値が欠落しているか、不正確である可能性があります。


| フィールド | 説明 | バージョン | 
| --- | --- | --- | 
| version | フィールドが導入されたバージョンを示します。デフォルトの形式には、すべてのバージョン 2 フィールドが含まれ、順番はテーブルと同じです。<br />**Parquet データ型:** INT\_32 | 2 | 
| resource-type | サブスクリプションが作成されるリソースのタイプ。Transit Gateway フローログの場合、これは TransitGateway になります。Parquet データ型: STRING | 6 | 
| account-id | ソーストランジットゲートウェイの所有者の AWS アカウント ID。<br />**Parquet データ型:** STRING | 2 | 
| tgw-id | トラフィックが記録される Transit Gateway の ID。**Parquet データ型:** STRING | 6 | 
| tgw-attachment-id | トラフィックが記録される Transit Gateway アタッチメントの ID。**Parquet データ型:** STRING | 6 | 
| tgw-src-vpc-account-id | ソース VPC トラフィックの AWS アカウント ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-dst-vpc-account-id | 送信先 VPC トラフィックの AWS アカウント ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-src-vpc-id |  Transit Gateway の送信元 VPC の ID。**Parquet データ型:** STRING  | 6 | 
| tgw-dst-vpc-id | Transit Gateway の送信先 VPC の ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-src-subnet-id | Transit Gateway 送信元トラフィックのサブネットの ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-dst-subnet-id | Transit Gateway 送信先トラフィックのサブネットの ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-src-eni | フローの送信元 Transit Gateway アタッチメント ENI の ID。<br />**Parquet データ型:** STRING  | 6 | 
| tgw-dst-eni | フローの送信先 Transit Gateway アタッチメント ENI の ID。**Parquet データ型:** STRING  | 6 | 
| tgw-src-az-id | トラフィックが記録される Transit Gateway を含むアベイラビリティーゾーンの ID。トラフィックがサブロケーションからの場合、レコードにはこのフィールドに「-」記号が表示されます。<br />**Parquet データ型:** STRING | 6 | 
| tgw-dst-az-id | トラフィックが記録される送信先 Transit Gateway を含むアベイラビリティーゾーンの ID。<br />**Parquet データ型:** STRING | 6 | 
| tgw-pair-attachment-id |  フローの方向に応じて、これはフローの出力または入力のアタッチメント ID になります。<br />**Parquet データ型:** STRING | 6 | 
| srcaddr | 受信トラフィックの送信元アドレス。<br />**Parquet データ型:** STRING | 2 | 
| dstaddr | 送信トラフィックの送信先アドレス。<br />**Parquet データ型:** STRING | 2 | 
| srcport | トラフィックの送信元ポート。<br />**Parquet データ型:** INT\_32  | 2 | 
| dstport | トラフィックの送信先ポート。<br />**Parquet データ型:** INT\_32 | 2 | 
| protocol | トラフィックの IANA プロトコル番号。詳細については、「[割り当てられたインターネットプロトコル番号](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)」を参照してください。<br />**Parquet データ型:** INT\_32 | 2 | 
| packets | フロー中に転送されたパケットの数。<br />**Parquet データ型:** INT\_64 | 2 | 
| bytes | フロー中に転送されたバイト数。<br />**Parquet データ型:** INT\_64 | 2 | 
| start | 集約間隔内にフローの最初のパケットが受信された時間 (UNIX 秒)。これは、パケットが Transit Gateway 上で送信または受信されてから最大 60 秒になる場合があります。<br />**Parquet データ型:** INT\_64 | 2 | 
| end | 集約間隔内にフローの最後のパケットが受信された時間 (UNIX 秒)。これは、パケットが Transit Gateway 上で送信または受信されてから最大 60 秒になる場合があります。<br />**Parquet データ型:** INT\_64 | 2 | 
| log-status | フローログのステータス。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/tgw-flow-logs.html)<br />**Parquet データ型:** STRING | 2 | 
| type | トラフィックの種類。指定できる値は、IPv4 \| IPv6 \| EFA です。詳細については、「Amazon EC2 ユーザーガイド」の「[Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html)」を参照してください。<br />**Parquet データ型:** STRING | 3 | 
| packets-lost-no-route | ルートが指定されていないためにパケットが失われました。<br />**Parquet データ型:** INT\_64  | 6 | 
| packets-lost-blackhole | ブラックホールのためにパケットが失われました。<br />**Parquet データ型:** INT\_64  | 6 | 
| packets-lost-mtu-exceeded | MTU を超えるサイズのためにパケットが失われました。<br />**Parquet データ型:** INT\_64  | 6 | 
| packets-lost-ttl-expired | 存続可能期間の満了によりパケットが失われました。<br />**Parquet データ型:** INT\_64  | 6 | 
| tcp-flags | 次の TCP フラグのビットマスク値:[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/tgw-flow-logs.html) フローログエントリが ACK パケットのみで構成されている場合、フラグ値は 16 ではなく 0 になります。 <br />TCP フラグの一般的な情報 (FIN、SYN、ACK などのフラグの意味など) については、Wikipedia の[「TCP セグメント構造」](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure)を参照してください。<br />TCP フラグは、集約間隔内に OR 処理することができます。短い接続の場合、フラグがフローログレコードの同じ行に設定されることがあります (例えば、SYN-ACK と FIN の場合は 19、SYN と FIN の場合は 3 など)。<br />**Parquet データ型:** INT\_32 | 3 | 
| region | トラフィックが記録される Transit Gateway を含むリージョン。<br />**Parquet データ型:** STRING | 4 | 
| flow-direction | トランジットゲートウェイに対するフローの方向。指定できる値は次のとおりです: ingress \| egress。<br />**Parquet データ型:** STRING | 5 | 
| pkt-src-aws-service | ソース [IP アドレスが サービスのものである場合の の IP アドレス範囲](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)のサブセットの名前。 srcaddr AWS 指定可能な値は次のとおりです:AMAZON \|AMAZON\_APPFLOW \|AMAZON\_CONNECT \|API\_GATEWAY \|CHIME\_MEETINGS \|CHIME\_VOICECONNECTOR \|CLOUD9 \|CLOUDFRONT \|CODEBUILD \|DYNAMODB \|EBS \|EC2 \|EC2\_INSTANCE\_CONNECT \|GLOBALACCELERATOR \|KINESIS\_VIDEO\_STREAMS \|ROUTE53 \|ROUTE53\_HEALTHCHECKS \|ROUTE53\_HEALTHCHECKS\_PUBLISHING \|ROUTE53\_RESOLVER \|S3 \|WORKSPACES\_GATEWAYS。<br />**Parquet データ型:** STRING | 5 | 
| pkt-dst-aws-service | 送信先 IP アドレスが AWS サービスのものである場合、 dstaddrフィールドの IP アドレス範囲のサブセットの名前。可能な値の一覧については、pkt-src-aws-service フィールドをご参照ください。Parquet データ型: STRING | 5 | 

## フローログの使用の管理
<a name="controlling-use-of-flow-logs"></a>

デフォルトでは、 ユーザーにはフローログを使用するためのアクセス許可がありません。フローログを作成、説明、削除するアクセス権限をユーザーに付与するユーザーポリシーを作成できます。詳細については、*Amazon EC2 API リファレンス*の「[IAM ユーザーに対する Amazon EC2 リソースに対するアクセス許可の付与](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html)」を参照してください。

フローログを作成、説明、削除する完全なアクセス許可をユーザーに付与するポリシー例を次に示します。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteFlowLogs",
        "ec2:CreateFlowLogs",
        "ec2:DescribeFlowLogs"
      ],
      "Resource": "*"
    }
  ]
}
```

------

発行先が CloudWatch Logs であるか Amazon S3 であるかにより、追加の IAM ロールとアクセス許可の設定が必要になります。詳細については、「[AWS Amazon CloudWatch Logs のトランジットゲートウェイフローログレコード](flow-logs-cwl.md)」および「[AWS Amazon S3 の Transit Gateway フローログレコード](flow-logs-s3.md)」を参照してください。

## Transit Gateway Flow Logs の料金
<a name="flow-logs-tgw-pricing"></a>

Transit Gateway フローログを発行すると、提供されたログに対するデータインジェスト料金とアーカイブ料金が適用されます。提供されたログの発行に伴う料金の詳細については、「[Amazon CloudWatch の料金](https://aws.amazon.com/cloudwatch/pricing/)」を開き、**[有料利用枠]** で **[ログ]** を選択して、**[提供されたログ]** を見つけます。