AWS Network Firewall監視
概要
Applications ManagerのAWS Network Firewall監視機能を使用すると、仮想プライベートクラウド(VPC)内に展開されたファイアウォールリソースの正常性、可用性、パフォーマンスを追跡できます。ファイアウォールの準備状況、設定の同期状態、トラフィックフロー、パケットドロップ、TLSインスペクションに関する詳細なメトリクスにより、ネットワークの安全性、コンプライアンス、そして中断のない運用を確保できます。継続的な監視により、設定ミスの特定、異常のリアルタイム検知、そしてAWS環境で稼働する重要なアプリケーションの高可用性の維持に役立ちます。
新しいAAWS Network Firewall監視の作成方法
新しいAWS Network Firewall監視を作成する方法については、こちらをご参照ください。
監視対象パラメーター
[監視]タブをクリックして、監視カテゴリビューに移動します。「クラウドアプリ」セクションの「Amazon」配下にある「AWS Network Firewall」インスタンスをクリックします。AWS Network Firewallの一括設定ビューが以下のタブに分かれて表示されます。
- [可用性]タブには、過去24時間または30日間の可用性履歴が表示されます。
- [パフォーマンス]タブには、過去24時間または30日間の応答時間と正常性の履歴が表示されます。
- [リストビュー]を使用すると、一括設定を実行できます。
リストから監視をクリックすると、次のタブを含むAAWS Network Firewallダッシュボードに移動します。
概要
| パラメーター | 説明 |
|---|---|
| NETWORK FIREWALL 情報 | |
| Firewallの状況 | 設定されたファイアウォールが、設定されているすべてのアベイラビリティゾーンにわたるネットワークトラフィックを処理できる状態 この設定は、 ConfigurationSyncStateSummaryの値がIN_SYNCであり、かつ設定済みのすべてのサブネットのアタッチメント状態の値が
READY の場合にのみREADYとなります。可能な値:PROVISIONING, DELETING, READY. |
| 構成の同期ステータス | ファイアウォールの設定同期状態 このファイアウォールステータスオブジェクトのSyncStatesにおけるConfig設定の概要を示します。 可能な値: PENDING, IN_SYNC, CAPACITY_CONSTRAINED. |
| 関連数 | このファイアウォールを使用するリソースの数 |
Stateful
| パラメーター | 説明 |
|---|---|
| ドロップしたパケットの割合(Stateful) | |
| ドロップしたパケットの割合(Stateful) | ポーリング間隔の間にStatefulエンジンでドロップされたパケットの割合 |
| 拒否されたパケットの割合(Stateful) | |
| 拒否されたパケットの割合(Stateful) | ポーリング間隔の間にStateful エンジンによって拒否されたパケットの割合 |
| Stateful パケットフロー | |
| 受信したパケット(Stateful) | ポーリング間隔の間にStateful エンジンのファイアウォールによって受信されたパケットの数 |
| ドロップしたパケットの割合(Stateful) | ポーリング間隔の間にStateful エンジンのルール アクションによりドロップされたパケットの数 |
| 拒否されたパケットの割合(Stateful) | ポーリング間隔の間に拒否Stateful ルール アクションにより拒否されたパケットの数 |
| 通過したパケット(Stateful) | ポーリング間隔の間にStateful エンジンのファイアウォールによって通過を許可されたパケットの数 |
| ストリーム例外ポリシーのパケット | ポーリング間隔の間にファイアウォールポリシーのストリーム例外ポリシーに一致するパケットの数 |
| TLS ドロップしたパケットの割合 | |
| TLS ドロップしたパケットの割合 | ポーリング間隔間の検査中にドロップされた SSL/TLS パケットの割合 |
| TLS拒否されたパケットの割合 | |
| TLS拒否されたパケットの割合 | ポーリング間隔間の検査中に拒否された SSL/TLS パケットの割合 |
| TLSエラー | |
| TLSエラー | ポーリング間隔の間に SSL/TLS パケットを検査中に検出されたエラーの数 |
| TTLS接続タイムアウト | |
| TLS接続タイムアウト | ポーリング間隔間の検査中にタイムアウトした SSL/TLS 接続の数 |
| TLSフロー | |
| TLS ドロップしたパケットの割合 | ポーリング間隔間の検査中にドロップされた SSL/TLS パケットの割合 |
| TLS ドロップしたパケット | ポーリング間隔の間に SSL/TLS パケットを検査中にドロップされたパケットの数 |
| TLS 拒否されたパケットの割合 | ポーリング間隔間の検査中に拒否された SSL/TLS パケットの割合 |
| TLS 拒否されたパケット | ポーリング間隔の間にネットワーク ファイアウォールによって拒否された SSL/TLS パケットの数 |
| TLS 通過したパケット | ポーリング間隔の間にネットワーク ファイアウォールによって渡された SSL/TLS パケットの数 |
| TLSエラー | ポーリング間隔の間に SSL/TLS パケットを検査中に検出されたエラーの数 |
| TLS接続タイムアウト | ポーリング間隔間の検査中にタイムアウトした SSL/TLS 接続の数 |
| TLS証明書の検証 | |
| TLS接続 - 失効ステータス OK | ポーリング間隔の間に、証明書が失効していないことが確認されたサーバーへの SSL/TLS 接続の数 |
| TLS接続 - 失効ステータス Revoked | ポーリング間隔の間に、証明書が失効したことが確認されたサーバーへの SSL/TLS 接続の数 |
| TLS接続 - 失効ステータス Unknown | ポーリング間隔の間に、証明書失効ステータスが不明なサーバへの SSL/TLS 接続の数 |
Statefulタブでは
、ドロップされたパケットの割合(Stateful)、拒否されたパケットの割合(Stateful)、ドロップされた TLS パケットの割合、拒否された TLS パケットの割合、TLS
エラー、およびタイムアウトした TLS 接続のメトリックの折れ線グラフ表現が利用できます。
Stateless
| パラメーター | 説明 |
|---|---|
| ドロップされたパケット割合の総数(Stateless) | |
| ドロップされたパケット割合の総数(Stateless) | ポーリング間隔の間にStateless エンジンでドロップされたパケットの合計の割合 |
| ドロップされたパケットの総数(Stateless) | |
| ドロップされたパケットの総数(Stateless) | ポーリング間隔の間に、ドロップされたパケット、無効パケット、その他のカテゴリを含む、Stateless エンジンでドロップされたパケットの合計数 |
| Statelessパケットフロー | |
| 受信したパケット(Stateless) | ポーリング間隔の間にStateless エンジンのファイアウォールによって受信されたパケットの数 |
| ドロップされたパケット割合の総数(Stateless) | ポーリング間隔の間にStateless エンジンでドロップされたパケットの合計の割合 |
| ドロップされたパケットの総数 | ポーリング間隔の間に、ドロップされたパケット、無効パケット、その他のカテゴリを含む、Stateless エンジンでドロップされたパケットの合計数 |
| ドロップしたパケット(Stateless) | ポーリング間隔の間にStateless ルール アクションによってドロップされたパケットの数 |
| その他ドロップしたパケット(Stateless) | ポーリング間隔の間に調整されたパケットを含む、InvalidDroppedPackets または DroppedPackets 以外の理由によりドロップされたパケットの数 |
| 無効なドロップしたパケット(Stateless) | ポーリング間隔の間にパケットの問題によりパケット検証に失敗したためにドロップされたパケットの数 |
| 通過したパケット(Stateless) | ポーリング間隔の間にStateless エンジンのファイアウォールによって通過を許可されたパケットの数 |
| TLS 受信したパケット(Stateless) | ポーリング間隔の間にファイアウォールが受信した SSL/TLS パケットの数 |
Statelessタブでは
、全体のドロップされたパケットの割合(Stateless)と全体のドロップされたパケット(Stateless)メトリックの折れ線グラフ表現が利用できます。
設定
| Firewall ID | ファイアウォールの一意の識別子 |
| VPC ID | ファイアウォールが使用されている VPC の一意の識別子 |
| Firewall ポリシー ARN | ファイアウォール ポリシーの Amazon リソース名(ARN) |
| 暗号化キータイプ | ネットワークファイアウォールリソースの暗号化に使用する AWS KMS キーのタイプ 可能な値:CUSTOMER_KMS, AWS_OWNED_KMS_KEY. |
| 暗号化キーID | AWS Key Management Service(KMS)カスタマー管理キーの ID |
| アベイラビリティーゾーン変更保護 | ファイアウォールがアベイラビリティーゾーン構成の変更から保護されているかどうかを示す設定 |
| Firewall ポリシー変更保護 | ファイアウォールポリシーの関連付けの変更に対してファイアウォールが保護されているかどうかを示す設定 |
| 削除保護 | ファイアウォールを削除できるかどうかを示すフラグ |
| サブネット変更保護 | ファイアウォールがサブネット関連付けの変更から保護されているかどうかを示す設定 |