Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第8章 セキュリティーグループアクションのロギング

Red Hat OpenStack Services on OpenShift (RHOSO) 環境では、仮想マシン (VM) インスタンスに出入りするトラフィックフローを監視するために、セキュリティーグループのパケットログを作成できます。各ログは、パケットフローイベントに関するデータストリームを生成し、それを仮想マシンインスタンスが起動された Compute ホスト上の共通ログファイルに追加します。

インスタンスポートを 1 つ以上のセキュリティーグループに関連付け、各セキュリティーグループに 1 つ以上のルールを定義できます。たとえば、セキュリティーグループ内の仮想マシンへの受信 SSH トラフィックを許可するルールを作成できます。同じセキュリティーグループ内に別のルールを作成し、そのグループ内の仮想マシンが ICMP (ping) メッセージを開始および応答できるようにすることができます。

その後、パケットフローイベントの組み合わせを記録するログを作成できます。たとえば、次のコマンドは、セキュリティーグループ security-group1ACCEPT イベントをすべてキャプチャーするログを作成します。 

$ openstack network log create my-log1 \
--resource-type security_group \
--resource security-group1 \
--event ACCEPT

複数のログを作成して、セキュリティーグループとパケットフローイベントの特定の組み合わせに関するデータをキャプチャーできます。

次のパラメーターを設定できます。

--resource-type
この必須パラメーターを security_group に設定する必要があります。
--resource <security_group_name|security_group_ID>
オプション: ログを特定のセキュリティーグループに制限します。リソースを指定しない場合、ログはプロジェクト内の指定されたポート上のすべてのセキュリティーグループからイベントをキャプチャーします。
--target <port_ID|port_name>
オプション: セキュリティーグループ内の特定のポートへのログを制限します。ターゲットを指定しない場合、ログはプロジェクト内のセキュリティーグループ内のすべてのポートからのイベントをキャプチャーします。
--event (ログに記録するイベントのタイプ)

次のパケットフローイベントをログに記録するように選択できます。

  • DROP: ドロップされた受信セッションまたは送信セッションごとに 1 つの DROP ログエントリーをログに記録します。

    注記

    1 つ以上のセキュリティーグループでドロップされたトラフィックをログに記録すると、Networking サービスはすべてのセキュリティーグループでドロップされたトラフィックをログに記録します。

  • ACCEPT: セキュリティーグループが許可した新規セッションごとに 1 つの ACCEPT ログエントリーを記録します。
  • ALL (drop と accept): すべての DROP および ACCEPT イベントをログに記録します。–event ACCEPT または –event DROP を設定しない場合、Networking サービスはデフォルトで ALL になります。
注記

Networking サービスは、すべてのログデータをすべての Compute ノードの同じファイル (/var/log/containers/openvswitch/ovn-controller.log) に書き込みます。

このセクションには、以下のトピックが含まれます。

8.1. セキュリティーグループのロギングが有効になっていることの確認
リンクのコピー

Red Hat OpenStack Services on OpenShift (RHOSO) 環境をネットワークパケットロギング用に準備するには、Networking サービス (neutron) がロギングサービスプラグインとロギングエクステンションをロードしていることを確認します。

前提条件

  • ワークステーションに oc コマンドラインツールがインストール済みである。
  • cluster-admin 権限を持つユーザーとして、RHOSO コントロールプレーンにアクセスできるワークステーションにログオン済みである。

手順

  1. ワークステーションから OpenStackClient Pod のリモートシェルにアクセスします。 

    $ oc rsh -n openstack openstackclient

  2. 以下のコマンドを実行します。 

    $ openstack extension list --network --max-width=72 | grep logging

    Networking サービスがロギングサービスプラグインとエクステンションをロードした場合、出力には次の内容が含まれます。 

    | Logging API          | logging              | Provides a logging API |

  3. openstack extension list の出力に Logging API Extension が含まれていない場合は、コントロールプレーンを更新します。

    1. YAML ファイルを作成し、次のコンテンツを追加します。 

      apiVersion: core.openstack.org/v1beta1
kind: OpenStackControlPlane
metadata:
  name: openstack-control-plane
spec:
  neutron:
    template:
      customServiceConfig: |
        [DEFAULT]
        service_plugins=log

    2. 更新された OpenStackControlPlane CR 設定を適用します。 

      $ oc apply -f <control_plane_update.yaml>
      • <control_plane_updates.yaml> を更新が含まれる YAML ファイルの名前に置き換えます。

  4. RHOCP が OpenStackControlPlane CR に関連するリソースを作成するまで待機します。コントロールプレーンのデプロイのステータスを確認します。 

    $ oc get openstackcontrolplane -n openstack

    出力例

    NAME                      STATUS    MESSAGE
openstack-control-plane   Unknown   Setup started

    ステータスが "Setup complete" であれば、OpenStackControlPlane リソースが作成されています。

    ヒント

    デプロイメントの進行状況を追跡するには、get コマンドに -w オプションを追加します。

検証

  • 手順 1 を繰り返して、Networking サービスが Logging API Extension を正常にロードしたことを確認します。

関連情報

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る