トラフィックミラーリング

• トラフィックをミラーリングする
• VPC フローログでフローは見れるがパケットの中身は見れない
• トラフィックミラーリングを使えばパケットフィルタリングできる

ref. https://dev.classmethod.jp/articles/how-to-capture-packets-outside-ec2-with-vpc-traffic-mirroring/

上記の記事どおりにやればよい。ただしインスタンスがt2ではだめでt3でテスト。

• ターゲットをミラーリングする
  • 送信元：ミラーリングする対象（送信元がインスタンスの場合、以下のシステムである必要がある）

    AWS Nitro システム (本記事の執筆時点では A1、C5、C5d、M5、M5a、M5d、R5、R5a、R5d、T3、および z1d) でサポートされている任意の EC2 インスタンスからのトラフィックをミラーリングできます。

  • 送信先：転送する先
• フィルターをミラーリングする
  • ミラーリングするフィルタを設定
• セッションをミラーリングする
  • ターゲットとフィルタの組み合わせ

送信先（ミラーリング先）

以下のコマンドでパケットをキャプチャできる

$ sudo tcpdump -i eth0 -n port 4789

ref. https://dev.classmethod.jp/articles/how-to-capture-packets-outside-ec2-with-vpc-traffic-mirroring/

VXLAN ref. https://www.infraexpert.com/study/virtual3.html