Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ablaufprotokolle von Amazon VPC Transit Gateways
Transit Gateway Flow Logs ist eine Funktion von Amazon VPC Transit Gateways, mit der Sie Informationen über den IP-Verkehr zu und von Ihren Transit-Gateways erfassen können. Flow-Protokolldaten können in Amazon CloudWatch Logs, Amazon S3 oder Firehose veröffentlicht werden. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die darin enthaltenen Daten abrufen und an dem gewählten Ziel anzeigen. Flow-Potokolldaten werden außerhalb des Pfades des Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die Latenz aus. Sie können Flow-Protokolle erstellen oder löschen, ohne dass die Netzwerkleistung beeinträchtigt wird. Flow-Protokolle für Transit-Gateway erfassen Informationen, die sich ausschließlich auf Transit-Gateways beziehen, die in Flow-Protokolldatensätze für Transit-Gateway beschrieben sind. Wenn Sie Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrem System erfassen möchtenVPCs, verwenden Sie VPC Flow Logs. Weitere Informationen finden Sie unter Protokollierung von IP-Verkehr mithilfe von VPC Flow Logs im VPCAmazon-Benutzerhandbuch.
Anmerkung
Um ein Transit-Gateway-Flow-Protokoll zu erstellen, müssen Sie der Eigentümer des Transit-Gateways sein. Wenn Sie nicht der Besitzer sind, muss Ihnen der Besitzer des Transit-Gateways die Erlaubnis geben.
Flow-Protokolldaten für ein überwachtes Transit-Gateway werden als Flow-Protokolldatensätze aufgezeichnet. Hierbei handelt es sich um Protokollereignisse bestehend aus Feldern, die den Datenverkehrfluss beschreiben. Weitere Informationen finden Sie unter Flow-Protokolldatensätze für Transit-Gateway.
Für die Erstellung eines Flow-Protokolls geben Sie Folgendes an:
-
Die Ressource, für die das Flow-Protokoll erstellt werden soll
-
Die Ziele, an die die Flow-Protokolldaten veröffentlicht werden sollen.
Nach dem Erstellen eines Flow-Protokolls kann es einige Minuten dauern, bis Daten erfasst und an den gewünschten Zielen veröffentlicht werden. Flow-Protokolle erfassen keine Echtzeitprotokollstreams für Ihre Transit-Gateways.
Sie können auf Ihre Flow-Protokolle Tags anwenden. Jeder Tag besteht aus einem Schlüssel und einem optionalen Wert, beides können Sie bestimmen. Tags können Ihnen dabei helfen, Ihre Flow-Protokolle zu organisieren, z. B. nach Zweck oder Besitzer.
Wenn Sie ein Flow-Protokoll nicht mehr benötigen, können Sie es löschen. Durch das Löschen eines Flow-Protokolls wird der Flow-Log-Service für die Ressource deaktiviert, und es werden keine neuen Flow-Protokolldatensätze erstellt oder in CloudWatch Logs oder Amazon S3 veröffentlicht. Durch das Löschen des Flow-Protokolls werden keine vorhandenen Flow-Protokolldatensätze oder Protokollstreams (für CloudWatch Logs) oder Protokolldateiobjekte (für Amazon S3) für ein Transit-Gateway gelöscht. Um einen vorhandenen Protokollstream zu löschen, verwenden Sie die CloudWatch Logs-Konsole. Vorhandene Protokolldateiobjekte können auf der Amazon S3-Konsole gelöscht werden. Nach dem Löschen eines Flow-Protokolls kann es einige Minuten dauern, bis keine Daten mehr erfasst werden. Weitere Informationen finden Sie unter Löschen Sie einen Amazon VPC Transit Gateways Flow Logs-Datensatz.
Sie können Flow-Protokolle für Ihre Transit-Gateways erstellen, die Daten in CloudWatch Logs, Amazon S3 oder Amazon Data Firehose veröffentlichen können. Weitere Informationen finden Sie hier:
Einschränkungen
Die folgenden Einschränkungen gelten für Transit Gateway Flow Logs:
-
Multicast-Verkehr wird nicht unterstützt.
-
Connect-Anlagen werden nicht unterstützt. Alle Connect-Flow-Protokolle werden unter dem Transportanhang angezeigt und müssen daher auf dem Transit-Gateway oder dem Connect-Transportanhang aktiviert sein.
Flow-Protokolldatensätze für Transit-Gateway
Ein Flow-Protokolldatensatz repräsentiert einen Netzwerk-Flow in Ihrem Transit-Gateway. Jeder Datensatz ist ein String mit durch Leerzeichen getrennten Feldern. Der Datensatz enthält Werte für die verschiedenen Komponenten des Datenverkehrsflusses, zum Beispiel Quelle, Ziel und Protokoll.
Wenn Sie ein Flow-Protokoll erstellen, können Sie das Standardformat für den Flow-Protokolldatensatz verwenden oder ein benutzerdefiniertes Format angeben.
Standardformat
Mit dem Standardformat enthalten die Flow-Protokolldatensätze alle Felder der Versionen 2 bis 6 in der Reihenfolge, die in der Tabelle Verfügbare Felder angezeigt wird. Das Standardformat kann nicht angepasst oder geändert werden. Um zusätzliche Felder oder eine unterschiedliche Teilmenge an Feldern zu erfassen, müssen Sie stattdessen ein benutzerdefiniertes Format angeben.
Benutzerdefiniertes Format
Mit einem benutzerdefinierten Format geben Sie an, welche Felder in den Flow-Protokolldatensätzen in welcher Reihenfolge enthalten sind. Auf diese Weise können Sie spezifische Flow-Protokolle für Ihre Anforderungen erstellen und Felder auslassen, die nicht relevant sind. Ein benutzerdefiniertes Format kann dazu beitragen, dass weniger separate Prozesse erforderlich sind, um spezifische Informationen aus veröffentlichten Flow-Protokollen zu extrahieren. Sie können eine beliebige Anzahl an verfügbaren Flow-Protokollfeldern angeben, Sie müssen jedoch mindestens eins angeben.
Verfügbare Felder
Die folgende Tabelle beschreibt alle verfügbaren Felder für einen Flow-Protokolldatensatz für Transit-Gateway. In der Spalte Version wird die Version angegeben, in der das Feld eingeführt wurde.
Beim Veröffentlichen von Flow-Protokoll-Daten in Amazon S3 hängt der Datentyp für die Felder vom Flow-Protokoll-Format ab. Handelt es sich bei dem Format um reinen Text, sind alle Felder vom Typ STRING. Wenn das Format Parquet ist, finden Sie die Felddatentypen in der Tabelle.
Wenn ein Feld für einen bestimmten Datensatz nicht anwendbar ist oder nicht verarbeitet werden konnte, wird für diesen Eintrag „-“ angezeigt. Metadatenfelder, die nicht direkt aus dem Paket-Header stammen, sind Best-Effort-Annäherungen, und ihre Werte können fehlen oder ungenau sein.
| Feld | Beschreibung | Version |
|---|---|---|
|
version |
Gibt die Version an, in der das Feld eingeführt wurde. Das Standardformat enthält alle Felder der Version 2 in der Reihenfolge, in der sie in der Tabelle angezeigt werden. Parquet-Datentyp: INT _32 |
2 |
| resource-type | Der Ressourcentyp, für den das Abonnement erstellt wird. Für Transit Gateway Flow Logs ist dies TransitGateway. Parquet-Datentyp: STRING |
6 |
| account-id |
Die AWS-Konto ID des Besitzers des Quell-Transit-Gateways. Parquet-Datentyp: STRING |
2 |
|
tgw-id |
ID des Transit-Gateways, für das der Datenverkehr aufgezeichnet wird. Parquet-Datentyp: STRING |
6 |
|
tgw-attachment-id |
ID des Transit-Gateway-Anhangs, für den der Datenverkehr aufgezeichnet wird. Parquet-Datentyp: STRING |
6 |
|
tgw-src-vpc-account-id |
Die AWS-Konto ID für den VPC Quelldatenverkehr. Parquet-Datentyp: STRING |
6 |
|
tgw-dst-vpc-account-id |
Die AWS-Konto ID für den VPC Zieldatenverkehr. Parquet-Datentyp: STRING |
6 |
|
tgw-src-vpc-id |
Die ID der Quelle VPC für das Transit-Gateway Parquet-Datentyp: STRING |
6 |
|
tgw-dst-vpc-id |
Die ID des Ziels VPC für das Transit-Gateway. Parquet-Datentyp: STRING |
6 |
|
tgw-src-subnet-id |
Die ID des Subnetzes für den Transit-Gateway-Quelldatenverkehr. Parquet-Datentyp: STRING |
6 |
|
tgw-dst-subnet-id |
Die ID des Subnetzes für den Transit-Gateway-Zieldatenverkehr. Parquet-Datentyp: STRING |
6 |
| tgw-src-eni |
Die ID des Quell-Transit-Gateway-Anhangs ENI für den Flow. Parquet-Datentyp: STRING |
6 |
| tgw-dst-eni | Die ID des Ziel-Transit-Gateway-Anhangs ENI für den Flow. Parquet-Datentyp: STRING |
6 |
|
tgw-src-az-id |
Die ID der Availability Zone, die den Quell-Transit-Gateway enthält, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an. Parquet-Datentyp: STRING |
6 |
|
tgw-dst-az-id |
Die ID der Availability Zone, die das Ziel-Transit-Gateway enthält, für das der Datenverkehr aufgezeichnet wird. Parquet-Datentyp: STRING |
6 |
| tgw-pair-attachment-id |
Abhängig von der Flow-Richtung ist dies entweder die Egress- oder die Ingress-Anhangs-ID des Flows. Parquet-Datentyp: STRING |
6 |
|
srcaddr |
Die Quelladresse für eingehenden Datenverkehr. Parquet-Datentyp: STRING |
2 |
|
dstaddr |
Die Zieladresse für ausgehenden Datenverkehr. Parquet-Datentyp: STRING |
2 |
|
srcport |
Der Quellport des Datenverkehrs Parquet-Datentyp: INT _32 |
2 |
|
dstport |
Der Zielport des Datenverkehrs Parquet-Datentyp: _32 INT |
2 |
|
protocol |
Die IANA Protokollnummer des Datenverkehrs. Weitere Informationen finden Sie unter Zugewiesene IP-Nummern Parquet-Datentyp: INT _64 |
2 |
|
packets |
Die Anzahl der Pakete, die während des Flows übertragen wurden Parquet-Datentyp: _64 INT |
2 |
|
bytes |
Die Anzahl der Bytes, die während des Flows übertragen wurden Parquet-Datentyp: _64 INT |
2 |
|
start |
Die Zeit, in Unix-Sekunden, in der das erste Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf dem Transit-Gateway übertragen oder empfangen wurde. Parquet-Datentyp: _64 INT |
2 |
|
end |
Die Zeit, in Unix-Sekunden, in der das letzte Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf dem Transit-Gateway übertragen oder empfangen wurde. Parquet-Datentyp: _64 INT |
2 |
| log-status |
Der Status des Flow-Protokolls:
Parquet-Datentyp: STRING |
2 |
| type |
Der Typ des Datenverkehrs. Mögliche Werte sind IPv4 | IPv6 |EFA. Weitere Informationen finden Sie unter Elastic Fabric Adapter im EC2Amazon-Benutzerhandbuch. Parquet-Datentyp: STRING |
3 |
|
packets-lost-no-route |
Die Pakete gingen verloren, weil keine Route angegeben wurde. Parquet-Datentyp: INT _64 |
6 |
|
packets-lost-blackhole |
Die Pakete gingen aufgrund eines schwarzen Lochs verloren. Parquet-Datentyp: _64 INT |
6 |
|
packets-lost-mtu-exceeded |
Die Pakete gingen verloren, weil die Größe den MTU überschritten hat. Parquet-Datentyp: INT _64 |
6 |
|
packets-lost-ttl-expired |
Die Pakete gingen aufgrund des Ablaufs von time-to-live verloren. Parquet-Datentyp: INT _64 |
6 |
|
tcp-flags |
Der Bitmaskenwert für die folgenden Flags: TCP
WichtigWenn ein Flow-Log-Eintrag nur aus ACK Paketen besteht, ist der Flag-Wert 0, nicht 16. Allgemeine Informationen zu TCP Flags (z. B. zur Bedeutung von Flags wie FINSYN, undACK) finden Sie unter TCPSegmentstruktur TCPFlaggen können während des Aggregationsintervalls mit OR verknüpft werden. Bei kurzen Verbindungen können die Flags in derselben Zeile im Flow-Log-Datensatz gesetzt werden, z. B. 19 für SYN - ACK und und und FIN 3 für SYN und. FIN Parquet-Datentyp: INT _32 |
3 |
|
region |
Die Region, die das Transit-Gateway enthält, in der der Datenverkehr aufgezeichnet wird. Parquet-Datentyp: STRING |
4 |
|
flow-direction |
Die Richtung des Flusses in Bezug auf die Schnittstelle, an der der Verkehr erfasst wird. Die möglichen Werte sind: ingress | egress. Parquet-Datentyp: STRING |
5 |
|
pkt-src-aws-service |
Der Name der Teilmenge von IP-Adressbereichen für das Feld srcaddr wenn die Quell-IP-Adresse für einen AWS Dienst bestimmt ist. Die möglichen Werte sind: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS. Parquet-Datentyp: STRING |
5 |
| pkt-dst-aws-service | Der Name der Teilmenge von IP-Adressbereichen für das Feld dstaddr Feld, wenn die Ziel-IP-Adresse für einen AWS Dienst bestimmt ist. Eine Liste möglicher Werte finden Sie unter pkt-src-aws-service aus. Parquet-Datentyp: STRING |
5 |
Kontrollieren der Nutzung von Flow-Protokollen
Standardmäßig haben -Benutzer keine Berechtigungen zum Arbeiten mit Flow-Protokollen. Sie können eine Benutzerrichtlinie erstellen, über die Benutzer die Berechtigungen zum Erstellen, Ändern, Beschreiben und Löschen von Flow-Protokollen erhalten. Weitere Informationen finden Sie unter IAMBenutzern die erforderlichen Berechtigungen für EC2 Amazon-Ressourcen gewähren in der EC2APIAmazon-Referenz.
Nachfolgend finden Sie eine Beispielrichtlinie, die Benutzern uneingeschränkte Berechtigungen erteilt, um Flow-Protokolle zu erstellen, zu beschreiben und zu löschen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }
Je nachdem, ob Sie in CloudWatch Logs oder Amazon S3 veröffentlichen, ist eine zusätzliche IAM Rollen- und Berechtigungskonfiguration erforderlich. Weitere Informationen erhalten Sie unter Transit Gateway Flow Logs-Aufzeichnungen in Amazon CloudWatch Logs und Transit Gateways Flow Logs-Aufzeichnungen in Amazon S3 .
Flow-Protokolle für Transit-Gateway – Preise
Es fallen Datenerfassungs- und Speichergebühren für Verkaufsprotokolle an, wenn Sie Transit-Gateway-Flow-Protokolle veröffentlichen. Weitere Informationen zu den Preisen bei der Veröffentlichung von Verkaufslogs erhalten Sie, indem Sie Amazon CloudWatch Pricing
