Amazon VPC

Présentation

Amazon Virtual Private Cloud (Amazon VPC) vous permet de lancer des ressources AWS dans votre réseau virtuel. La fonctionnalité de logs de flux VPC vous permet de capturer des informations sur le trafic IP entrant et sortant des interfaces réseau dans votre VPC.

Implémentation

Installation

Si vous ne l’avez pas déjà fait, configurez d’abord l’intégration Amazon Web Services.

Collecte de métriques

Aucune étape supplémentaire n’est nécessaire pour recueillir les métriques AWS VPC autres que aws.vpc.flowlogs.*. Les métriques commençant par aws.vpc.flowlogs.* sont générées par l’intégration Datadog/Logs de flux VPC. Consultez la section collecte de logs ci-dessous pour activer la collecte de métriques des logs de flux.

Pour les métriques aws.vpc.subnet.*, contactez l’assistance Datadog afin d’activer la collecte pour votre compte.

Collecte de logs

Trouver ou créer la ressource de destination dans AWS pour vos logs de flux VPC

Les logs de flux VPC doivent d’abord être transmis à une destination intermédiaire avant d’être envoyés à Datadog. Vous pouvez les envoyer directement à un Kinesis Data Firehose, ou les stocker dans un compartiment S3 ou un groupe de logs CloudWatch.

Il est recommandé d’utiliser Kinesis Data Firehose, car cette approche représente une charge opérationnelle plus faible et peut se révéler plus économique. Consultez la section Présentation de l’envoi de logs de flux Amazon VPC à Kinesis Data Firehose (en anglais) pour en savoir plus.

Choisissez l’une des destinations suivantes ou créez-la :
- Kinesis Data Firehose (recommandé) : si vous ne disposez pas déjà d’un flux de diffusion Kinesis Data Firehose pour l’envoi de logs à Datadog, suivez les instructions de la section Envoyer des logs de services AWS avec la destination Datadog pour Kinesis Firehose pour en créer un. Remarque : vous pouvez également choisir un flux de diffusion d’un autre compte AWS de votre VPC afin de centraliser la collecte et la diffusion de logs.
- Chemin de compartiment S3 ou de dossier
- Groupe de logs CloudWatch

Remarque : ajoutez le préfixe vpc au chemin du compartiment S3 ou au nom du groupe de logs CloudWatch pour que le Lambda ajoute automatiquement aux logs un tag correspondant à la source vpc.

Activer la journalisation de logs de flux VPC

Dans la console AWS, accédez au VPC que vous souhaitez surveiller.
Accédez à l’onglet Flow logs.
Cliquez sur Create flow log.
Sélectionnez le filtre All pour afficher les connexions acceptées et refusées.
Sélectionnez le type de destination de votre choix (Kinesis Data Firehose, compartiment S3 ou groupe de logs CloudWatch) pour les logs.
Renseignez les détails concernant la ressource de destination.
Cliquez sur Create flow log.

Envoyer des logs à Datadog

Si vous avez la destination Kinesis Data Firehose, la configuration est terminée.

Si vous avez sélectionné un compartiment S3 ou un groupe de logs CloudWatch comme destination, procédez comme suit :

Si ce n’est pas déjà fait, configurez la fonction Lambda du Forwarder Datadog dans votre compte AWS.
Une fois la fonction Lambda configurée, accédez-y. Dans la section Function Overview, cliquez sur Add Trigger.
Sélectionnez le déclencheur S3 ou CloudWatch Logs pour le champ Trigger Configuration.
Sélectionnez le compartiment S3 ou le groupe de logs CloudWatch qui contient vos logs VPC.
Pour les compartiments S3, conservez le type d’événement All object create events.
Cliquez sur Add pour ajouter le déclencheur à votre fonction Lambda.

Accédez au Log Explorer pour commencer à explorer vos logs.

Pour en savoir plus sur la collecte de logs de services AWS, consultez la section Envoyer des logs de services AWS avec la fonction Lambda Datadog.

Données collectées

Métriques

aws.transitgateway.bytes_in (count)	The number of bytes received by the transit gateway. Shown as byte
aws.transitgateway.bytes_out (count)	The number of bytes sent from the transit gateway. Shown as byte
aws.transitgateway.packet_drop_count_blackhole (count)	The number of packets dropped because they matched a blackhole route. Shown as packet
aws.transitgateway.packet_drop_count_no_route (count)	The number of packets dropped because they did not match a route. Shown as packet
aws.transitgateway.packets_in (count)	The number of packets received by the transit gateway. Shown as packet
aws.transitgateway.packets_out (count)	The number of packets sent by the transit gateway. Shown as packet
aws.vpc.flowlogs.action (count)	ACCEPT or REJECT if the traffic was permitted or not by the securtiy groups or network ACLs
aws.vpc.flowlogs.bytes.per_request.max (gauge)	The maximum number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.per_request.median (gauge)	The median number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.per_request.min (gauge)	The minimum number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.per_request.p90 (gauge)	The 90th percentile number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.per_request.p95 (gauge)	The 95th percentile number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.per_request.p99 (gauge)	The 99th percentile number of bytes transferred per request during the capture window Shown as byte
aws.vpc.flowlogs.bytes.total (count)	The total number of bytes transferred during the capture window Shown as byte
aws.vpc.flowlogs.duration.per_request.max (gauge)	The maximum duration per request during the capture window Shown as second
aws.vpc.flowlogs.duration.per_request.median (gauge)	The median duration per request during the capture window Shown as second
aws.vpc.flowlogs.duration.per_request.min (gauge)	The minimum duration per request during the capture window Shown as second
aws.vpc.flowlogs.duration.per_request.p90 (gauge)	The 90th percentile duration per request during the capture window Shown as second
aws.vpc.flowlogs.duration.per_request.p95 (gauge)	The 95th percentile duration per request during the capture window Shown as second
aws.vpc.flowlogs.duration.per_request.p99 (gauge)	The 99th percentile duration per request during the capture window Shown as second
aws.vpc.flowlogs.log_status (count)	The logging status of the flow log: OK NODATA or SKIPDATA
aws.vpc.flowlogs.packets.per_request.max (gauge)	The maximum number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.per_request.median (gauge)	The median number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.per_request.min (gauge)	The minimum number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.per_request.p90 (gauge)	The 90th percentile number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.per_request.p95 (gauge)	The 95th percentile number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.per_request.p99 (gauge)	The 99th percentile number of packets transferred per request during the capture window Shown as packet
aws.vpc.flowlogs.packets.total (count)	The total number of packets transferred during the capture window Shown as packet
aws.vpc.subnet.available_ip_address_count (gauge)	The number of available IP addresses in the subnet
aws.vpc.subnet.total_ip_address_count (gauge)	The total number of IP addresses contained within the subnet

Chacune des métriques récupérées à partir d’AWS se voit assigner les mêmes tags que ceux qui apparaissent dans la console AWS, y compris, mais sans s’y limiter, le hostname et les groupes de sécurité.