ネットワーク通信では、複数の RFC にて規定されたプロトコルに沿ってパケットを送りあうことで情報伝達を行います。
フローログは、そのパケットを取得し記録したログです。

Google Cloud では VPC フローログと呼ばれており、VM インスタンス（Google Kubernetes Engine（GKE）ノードとして使用されるインスタンスを含む）にて送受信されたパケットと、Cloud Interconnect や Cloud VPN トンネルの VLAN アタッチメントを介して送信されたパケットのサンプルが記録されます（後者は現時点ではプレビュー段階の機能です。）

 
と、堅苦しい仕様説明をしましたが、フローログは「どのようなパケットが通過しているかを把握する」ログであり、
活用することで、以下のような効果が見込めます。
 

• ネットワークトラブル時の障害対応
• 不必要な通信パケットの最適化 (費用削減)
• 不正な通信パケットの検出 (不正アクセス検知)
• セキュリティ事故が起きた際に、事前に収集したネットワーク内のパケット情報から、
  被害状況の解明や犯罪捜査に必要な法的な証拠を明らかにできる

既に Google Cloud のプロジェクトがある前提で進めていきます。
 

１．API の有効化

プロジェクトで以下の API を有効にします。

• Compute Engine API
• Network Management API

２．必要な権限(ロール)の付与

プロジェクトで次のいずれかのロールが付与されていることを確認します。

• Compute 管理者 (roles/compute.admin)
• Compute ネットワーク管理者 (roles/compute.networkAdmin)

３．リソースの準備

検証用に「vpc-flow-analyze」という VPC ネットワークと、Compute Engine VM インスタンス を 1 台 を用意しました。
そして、検証用のサブネットを作成する際にフローログをオンにします。
フローログ取得の準備はたったこれだけです。

もちろん、サブネット作成後にフローログを有効化することもできます。

※ 厳密には下記デフォルト設定でフローログが取得されていますので、必要であれば後ほど変更が可能です。

ここから、取得したフローログの解析手段をご説明します。
いくつかのやり方がありますので、ご自身の使いやすいツールをご選択ください。
 

１．Cloud Logging ログ エクスプローラ にてクエリ検索

従来からある方法ですね。
ログを指定し、フィールドにフィルタをかけてログを抽出します。
フィールドはある程度打ち込めばサジェストしてくれます。
 
ピンポイントで解析対象が定まっていれば、特定のフィルタをかけてログを解析できるのですが、
試行錯誤しながらの調査だと少し時間がかかる方法かと思います。

フィールド情報の詳細についてはこちらをご確認ください。

２．Cloud Logging ログ分析 にて SQL 検索

ログバケットをデータベースに見立てて、SQL 検索を行うことも可能です。

その前に、ログ分析を可能にするため、ログバケットをアップグレードする必要があります。
[ロギング] – [ログ ストレージ] 画面を開き、該当のログバケットをアップグレードしてください。
今回は「_Default」ログバケットをアップグレードします。
既にアップグレードされている場合はこの工程は省いて大丈夫です。

アップグレード後、[ロギング] – [ログ分析] 画面を開くと、SQL にてフローログを検索することができます。
画面左下にスキーマ構造も表示されていますので、SQL のご経験がある方にとっては、前述のログ エクスプローラよりは学習コストが低いかなと思われます。



 

３．Flow Analyzer による GUI 解析

最後は、2025/2/27 に一般提供(GA)が開始された、Flow Analyzer による解析です。
Flow Analyzer は 「Network Intelligence Center」の一機能として提供されています。
※ Network Intelligence Center についてはこちらの記事で詳しく触れていますので、よかったらご一読ください。

また、「Flow Analyzer」もログバケットをアップグレードする必要があります。
[ロギング] – [ログ ストレージ] 画面を開き、該当のログバケットをアップグレードしてください。

さて、それでは実際に解析してみたいと思います。
ナビゲーション メニューより [ネットワーク インテリジェンス] – [Flow Analyzer]を開きます。

ソースとなるバケット(_Default)を選択すると、取得されたパケット内容がグラフィカルに表示されます。
格段に解析しやすくなったのではないでしょうか。

データフロー内の「詳細」ボタンを押すと、パケットの詳細内容を確認することができます。



 

５．Cloud Assist で 自然言語から SQL クエリを作成

ネットワーク界隈にも生成 AI の波が押し寄せてきています。
「Flow Analyzer」画面上部の「Cloud Assist クエリ を作成」を押すと、Cloud Assist にてクエリを作成する画面が表示され、自然言語から解析用のクエリを作成してくれます。

現時点ではまだプレビュー段階ですが、今後の発展が楽しみですね。

１．費用感

ログの解析費用はいずれも無料です。
VPC フローログは取得したログ容量に対して費用が発生します。

・ ログ解析費用：

・ VPC フローログ 費用：

２．使いどころ

ネットワークのトラブルシューティングやパケット解析 目的：
必要となった時のみ、サブネット単位でフローログを取得することも可能です。
また、フィルタにてパケットを取得する対象を絞ることで、より範囲を特定したログ取得も可能です。
 
例：
「先日、新しい VM を構築したが、既存 VM と通信ができない」という時に、各 VM と実施した時間枠を対象としてフィルタリングをすることで、より正確に通信の流れを確認することが可能です。

フォレンジック目的：
証跡を残すという意味でネットワーク全体のフローログを取得／保管することが推奨かと思われます。
また、特定の通信を検知した際にはアラートを通知することも可能です。

例：
「昨日、外部へ大量の送信があることが検知できたが、送信元がどの VM なのかは分からない」という時に、該当時間帯のフローログから発信している VM を特定し、送信先／ポート等の情報を確認することで、早急な対応が可能です。
 

ただし、VPC フローログでは 最小 5 秒以下のパケットについては集計される可能性もあるため、
すべてのパケットが必要な場合は「パケットミラーリング」の使用もご検討ください。

フローログ取得の設定から解析ツールのご紹介いたしました。
Flow Analyzer については、ツール習得も必要なく、直感で操作できるのは非常にありがたいと思います。

• VPC フローログは簡単に取得できる。
• 使い勝手に応じて、複数の解析ツールがある。
• 解析は無料

日々進化していく最新の機能をスピーディに利用できるのがクラウドの一つのメリットですので、
今後も新しい機能に気が付いたら、またアップいたします。
 

最後まで読んでいただき、ありがとうございました！
 
 
当社システムサポートは、Google Cloud の導入・移行・運営支援を行っています。
クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします！