Flow-Protokolldatensätze - Amazon Virtual Private Cloud
AggregationsintervallStandardformatBenutzerdefiniertes FormatVerfügbare Felder

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Flow-Protokolldatensätze

Ein Flow-Protokolldatensatz repräsentiert einen Netzwerk-Flow in Ihrer VPC. Standardmäßig erfasst jeder Datensatz einen Netzwerk-Internetprotokoll-(IP)-Datenverkehrsfluss (gekennzeichnet durch ein 5-Tupel auf der Basis der einzelnen Netzwerkschnittstellen), der innerhalb eines Aggregationsintervalls auftritt, das auch als Erfassungsfenster bezeichnet wird.

Jeder Datensatz ist ein String mit durch Leerzeichen getrennten Feldern. Der Datensatz enthält Werte für die verschiedenen Komponenten des IP-Flows, zum Beispiel Quelle, Ziel und Protokoll.

Wenn Sie ein Flow-Protokoll erstellen, können Sie das Standardformat für den Flow-Protokolldatensatz verwenden oder ein benutzerdefiniertes Format angeben.

Aggregationsintervall

Das Aggregationsintervall ist der Zeitraum, in dem ein bestimmter Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird. Standardmäßig beträgt das maximale Aggregationsintervall 10 Minuten. Wenn Sie ein Flow-Protokoll erstellen, können Sie optional ein maximales Aggregationsintervall von 1 Minute angeben. Flow-Protokolle mit einem maximalen Aggregationsintervall von 1 Minute erzeugen ein höheres Volumen an Flow-Protokoll-Datensätzen als Flow-Protokolle mit einem maximalen Aggregationsintervall von 10 Minuten.

Wenn eine Netzwerkschnittstelle einer Nitro-basierten Instance zugewiesen ist, beträgt das Aggregationsintervall immer 1 Minute oder weniger, unabhängig vom angegebenen maximalen Aggregationsintervall.

Nachdem Daten innerhalb eines Aggregationsintervalls erfasst wurden, nimmt die Verarbeitung und Veröffentlichung der Daten in CloudWatch Logs oder Amazon S3 zusätzliche Zeit in Anspruch. Der Flow Log-Service übermittelt Protokolle in der Regel in etwa 5 Minuten an CloudWatch Logs und in etwa 10 Minuten an Amazon S3. Die Protokollbereitstellung erfolgt jedoch nach bestem Bemühen, und Ihre Protokolle können über die typische Lieferzeit hinaus verzögert werden.

Standardformat

Mit dem Standardformat enthalten die Flow-Protokolldatensätze die Felder der Version 2 in der Reihenfolge, die in der Tabelle Verfügbare Felder angezeigt wird. Das Standardformat kann nicht angepasst oder geändert werden. Um zusätzliche Felder oder eine unterschiedliche Teilmenge an Feldern zu erfassen, müssen Sie stattdessen ein benutzerdefiniertes Format angeben.

Benutzerdefiniertes Format

Mit einem benutzerdefinierten Format geben Sie an, welche Felder in den Flow-Protokolldatensätzen in welcher Reihenfolge enthalten sind. Auf diese Weise können Sie spezifische Flow-Protokolle für Ihre Anforderungen erstellen und Felder auslassen, die nicht relevant sind. Ein benutzerdefiniertes Format kann dazu beitragen, dass weniger separate Prozesse erforderlich sind, um spezifische Informationen aus veröffentlichten Flow-Protokollen zu extrahieren. Sie können eine beliebige Anzahl an verfügbaren Flow-Protokollfeldern angeben, Sie müssen jedoch mindestens eins angeben.

Verfügbare Felder

Die folgende Tabelle beschreibt alle verfügbaren Felder für einen Flow-Protokolldatensatz. In der Spalte Version wird die Version des VPC-Flow-Protokolls angegeben, in der das Feld eingeführt wurde. Das Standardformat enthält alle Felder der Version 2 in der Reihenfolge, in der sie in der Tabelle angezeigt werden.

Beim Veröffentlichen von Flow-Protokoll-Daten in Amazon S3 hängt der Datentyp für die Felder vom Flow-Protokoll-Format ab. Wenn das Format Klartext ist, sind alle Felder vom Typ STRING. Wenn das Format Parquet ist, finden Sie die Felddatentypen in der Tabelle.

Wenn ein Feld für einen bestimmten Datensatz nicht anwendbar ist oder nicht verarbeitet werden konnte, wird für diesen Eintrag „-“ angezeigt. Metadatenfelder, die nicht direkt aus dem Paket-Header stammen, sind Best-Effort-Annäherungen, und ihre Werte können fehlen oder ungenau sein.

Feld Beschreibung Version

version

Die Version des VPC-Flow-Protokolls. Wenn Sie das Standardformat verwenden, lautet die Version 2. Wenn Sie ein benutzerdefiniertes Format verwenden, ist die Version die höchste Version unter den angegebenen Feldern. Wenn Sie beispielsweise nur Felder aus Version 2 angeben, lautet die Version 2. Wenn Sie eine Mischung aus Feldern aus den Versionen 2, 3 und 4 angeben, lautet die Version 4.

Parquet-Datentyp: INT_32

 2

account-id

Die AWS Konto-ID des Besitzers der Quellnetzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Wenn die Netzwerkschnittstelle von einem AWS Dienst erstellt wird, z. B. beim Erstellen eines VPC-Endpunkts oder eines Network Load Balancer, wird der Datensatz möglicherweise angezeigt unknown anzeigen.

Parquet-Datentyp: STRING

 2

interface-id

Die ID der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird.

Parquet-Datentyp: SCHNUR

 2

srcaddr

Für eingehenden Datenverkehr ist dies die IP-Adresse der Verkehrsquelle. Für ausgehenden Verkehr ist dies die private IPv4 Adresse oder die IPv6 Adresse der Netzwerkschnittstelle, die den Verkehr sendet. Weitere Informationen finden Sie auch unter pkt-srcaddr.

Parquet-Datentyp: STRING

 2

dstaddr

Die Zieladresse für ausgehenden Verkehr IPv4 oder die IPv6 Oder-Adresse der Netzwerkschnittstelle für eingehenden Verkehr auf der Netzwerkschnittstelle. Die IPv4 Adresse der Netzwerkschnittstelle ist immer ihre private IPv4 Adresse. Weitere Informationen finden Sie auch unter pkt-dstaddr.

Parquet-Datentyp: STRING

 2

srcport

Der Quellport des Datenverkehrs

Parquet-Datentyp: INT_32

 2

dstport

Der Zielport des Datenverkehrs

Parquet-Datentyp: INT_32

 2

protocol

Die IANA-Protokollnummer des Datenverkehrs. Weitere Informationen finden Sie unter Zugewiesene IP-Nummern.

Parquet-Datentyp: INT_32

 2

packets

Die Anzahl der Pakete, die während des Flows übertragen wurden

Parquet-Datentyp: INT_64

 2

bytes

Die Anzahl der Bytes, die während des Flows übertragen wurden

Parquet-Datentyp: INT_64

 2

start

Die Zeit, in Unix-Sekunden, in der das erste Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf der Netzwerkschnittstelle übertragen oder empfangen wurde.

Parquet-Datentyp: INT_64

 2

end

Die Zeit, in Unix-Sekunden, in der das letzte Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf der Netzwerkschnittstelle übertragen oder empfangen wurde.

Parquet-Datentyp: INT_64

 2

action

Die mit dem Datenverkehr verknüpfte Aktion:

  • ACCEPT — Der Verkehr wurde akzeptiert.

  • REJECT — Der Verkehr wurde abgelehnt. Beispielsweise wurde der Datenverkehr von den Sicherheitsgruppen oder dem Netzwerk nicht zugelassen ACLs, oder Pakete kamen an, nachdem die Verbindung geschlossen wurde.

Parquet-Datentyp: STRING

 2

log-status

Der Protokollstatus des Flow-Protokolls:

  • OK – Daten werden normal auf den ausgewählten Zielen protokolliert.

  • NODATA – Es gab während des Aggregationsintervalls keinen Datenverkehr von oder zur Netzwerkschnittstelle.

  • SKIPDATA – Einige Flow-Protokolldatensätze wurden während des Aggregationsintervalls übersprungen. Dies kann an internen Kapazitätsbeschränkungen oder einem internen Fehler liegen.

    Während des Aggregationsintervalls werden einige Flow-Protokolldatensätze möglicherweise übersprungen (siehe log-status in Verfügbare Felder). Dies kann durch eine interne AWS Kapazitätsbeschränkung oder einen internen Fehler verursacht werden. Wenn Sie VPC-Flow-Log-Gebühren anzeigen und einige Flow-Logs während des Flow-Log-Aggregationsintervalls übersprungen AWS Cost Explorer werden, ist die Anzahl der gemeldeten Flow-Logs höher als die Anzahl der von Amazon VPC veröffentlichten Flow-Logs. AWS Cost Explorer

Parquet-Datentyp: STRING

 2

vpc-id

Die ID der VPC mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird.

Parquet-Datentyp: SCHNUR

 3

subnet-id

Die ID des Subnetzes mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird.

Parquet-Datentyp: SCHNUR

 3

instance-id

Die ID der Instance, die mit der Netzwerkschnittstelle verbunden ist, für die der Datenverkehr aufgezeichnet wird, sofern die Instance Ihnen gehört. Gibt das Symbol '-' für eine vom Anforderer verwaltete Netzwerkschnittstelle zurück, wie beispielsweise die Netzwerkschnittstelle für ein NAT-Gateway.

Parquet-Datentyp: SCHNUR

 3

tcp-flags

Der Bitmasken-Wert für die folgenden TCP-Flags:

  • FIN — 1

  • SYN — 2

  • RST — 4

  • SYN-ACK — 18

Wenn keine unterstützten Flags aufgezeichnet werden, ist der TCP-Flag-Wert 0. Da tcp-flags beispielsweise die Protokollierung von ACK- oder PSH-Flags nicht unterstützt, führen Datensätze für Datenverkehr mit diesen nicht unterstützten Flags zu einem tcp-flags-Wert von 0. Wenn jedoch ein nicht unterstütztes Flag von einem unterstützten Flag begleitet wird, geben wir den Wert des unterstützten Flags an. Wenn ACK beispielsweise Teil von SYN-ACK ist, wird 18 angegeben. Und wenn es einen Datensatz wie SYN+ECE gibt, ist der TCP-Flaggenwert 2, da SYN ein unterstütztes Flag ist und ECE nicht. Wenn die Flag-Kombination aus irgendeinem Grund ungültig ist und der Wert nicht berechnet werden kann, ist der Wert „-“. Wenn keine Flags gesendet werden, ist der TCP-Flag-Wert 0.

TCP-Flags können während des Aggregationsintervalls ODER-verknüpft werden. Für kurze Verbindungen können die Flags in derselben Zeile im Flow-Protokolldatensatz festgelegt werden, wie beispielsweise 19 für SYN-ACK und FIN und 3 für SYN und FIN. Ein Beispiel finden Sie unter TCP-Flag-Sequenz.

Allgemeine Informationen zu TCP-Flags (z. B. die Bedeutung von Flags wie FIN, SYN und ACK) finden Sie unter TCP-Segmentstruktur auf Wikipedia.

Parquet-Datentyp: INT_32

 3

type

Der Typ des Datenverkehrs. Die möglichen Werte sind: IPv4 | IPv6 | EFA. Weitere Informationen finden Sie unter Elastic Fabric Adapter.

Parquet-Datentyp: STRING

 3

pkt-srcaddr

Die (ursprüngliche) Quell-IP-Adresse des Datenverkehrs auf Paketebene. Verwenden Sie dieses Feld mit dem Feld srcaddr um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs zu unterscheiden. Beispiel: Wenn Datenverkehr durch eine Netzwerkschnittstelle für ein NAT-Gateway fließt oder wenn die IP-Adresse eines Pods in Amazon EKS von der IP-Adresse der Netzwerkschnittstelle des Instance-Knotens abweicht, auf dem der Pod (für die Kommunikation innerhalb der VPC) ausgeführt wird.

Parquet-Datentyp: SCHNUR

 3

pkt-dstaddr

Die (ursprüngliche) Ziel-IP-Adresse für den Datenverkehr auf Paketebene. Verwenden Sie dieses Feld mit dem Feld dstaddr um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der endgültigen Ziel-IP-Adresse des Datenverkehrs zu unterscheiden. Beispiel: Wenn Datenverkehr durch eine Netzwerkschnittstelle für ein NAT-Gateway fließt oder wenn die IP-Adresse eines Pods in Amazon EKS von der IP-Adresse der Netzwerkschnittstelle des Instance-Knotens abweicht, auf dem der Pod (für die Kommunikation innerhalb der VPC) ausgeführt wird.

Parquet-Datentyp: SCHNUR

 3

region

Die Region, die die Netzwerkschnittstelle enthält, für die der Datenverkehr aufgezeichnet wird.

Parquet-Datentyp: SCHNUR

4

az-id

Die ID der Availability Zone, die die Netzwerkschnittstelle enthält, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an.

Parquet-Datentyp: SCHNUR

4

sublocation-type

Der Typ des untergeordneten Standorts, der im Feld sublocation-id aus. Die möglichen Werte sind: wavelength | outpost | localzone. Wenn der Datenverkehr nicht von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an.

Parquet-Datentyp: SCHNUR

4

sublocation-id

Die ID des untergeordneten Standorts mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr nicht von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an.

Parquet-Datentyp: SCHNUR

4

pkt-src-aws-service

Der Name der Teilmenge von IP-Adressbereichen für das Feld pkt-srcaddr Feld, wenn die Quell-IP-Adresse für einen AWS Dienst bestimmt ist. Wenn pkt-srcaddr zu einem überlappenden Bereich gehört, pkt-src-aws-service wird nur einer der Servicecodes angezeigt. AWS Die möglichen Werte sind: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.

Parquet-Datentyp: SCHNUR

5

pkt-dst-aws-service

Der Name der Teilmenge von IP-Adressbereichen für das Feld pkt-dstaddr Feld, wenn die Ziel-IP-Adresse für einen Dienst bestimmt ist. AWS Eine Liste möglicher Werte finden Sie unter pkt-src-aws-service aus.

Parquet-Datentyp: SCHNUR

5

flow-direction

Die Richtung des Flusses in Bezug auf die Schnittstelle, an der der Verkehr erfasst wird. Die möglichen Werte sind: ingress | egress.

Parquet-Datentyp: SCHNUR

5

traffic-path

Der Weg, der ausgehenden Verkehr zum Ziel führt. Um festzustellen, ob es sich bei dem Verkehr um einen ausgehenden Verkehr handelt, überprüfen Sie die Feld flow-direction aus. Die möglichen Werte lauten wie folgt: Wenn keiner der Werte zutrifft, wird für das Feld „-“ angezeigt.

  • 1 – Über eine andere Ressource in derselben VPC, einschließlich Ressourcen, die eine Netzwerkschnittstelle in der VPC erstellen

  • 2 – Über ein Internet-Gateway oder einen Gateway-VPC-Endpunkt

  • 3 – Über ein Virtual Private Gateway

  • 4– Über eine VPC-Peering-Verbindung innerhalb von Regionen

  • 5 – Über eine VPC-Peering-Verbindung zwischen Regionen

  • 6 – Über ein lokales Gateway

  • 7 – Über einen Gateway-VPC-Endpunkt (nur auf Nitro-basierte Instances)

  • 8 – Über ein Internet-Gateway (nur auf Nitro-basierte Instances)

Parquet-Datentyp: INT_32

5

ecs-cluster-arn

AWS Ressourcenname (ARN) des ECS-Clusters, wenn der Datenverkehr von einer laufenden ECS-Task stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.

Parquet-Datentyp: STRING

7

ecs-cluster-name

Name des ECS-Clusters, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.

Parquet-Datentyp: STRING

7

ecs-container-instance-arn

ARN der ECS-Container-Instance, wenn der Datenverkehr von einer laufenden ECS-Task auf einer EC2 Instance stammt. Wenn der Kapazitätsanbieter AWS Fargate ist, wird für dieses Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListContainerInstances.

Parquet-Datentyp: STRING

7

ecs-container-instance-id

ID der ECS-Container-Instance, wenn der Datenverkehr von einer laufenden ECS-Task auf einer EC2 Instance stammt. Wenn der Kapazitätsanbieter AWS Fargate ist, wird für dieses Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListContainerInstances.

Parquet-Datentyp: STRING

7

ecs-container-id

Docker-Laufzeit-ID des Containers, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Wenn die ECS-Aufgabe einen oder mehrere Container enthält, ist dies die Docker-Laufzeit-ID des ersten Containers. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.

Parquet-Datentyp: STRING

7

ecs-second-container-id

Docker-Laufzeit-ID des Containers, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Wenn die ECS-Aufgabe mehr als einen Container enthält, ist dies die Docker-Laufzeit-ID des zweiten Containers. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.

Parquet-Datentyp: STRING

7

ecs-service-name

Name des ECS-Service, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt und die ECS-Aufgabe von einem ECS-Service gestartet wurde. Wenn die ECS-Aufgabe nicht von einem ECS-Service gestartet wurde, wird in diesem Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListServices.

Parquet-Datentyp: STRING

7

ecs-task-definition-arn

ARN der ECS-Aufgabendefinition, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs aufzurufen: ListTaskDefinitions

Parquet-Datentyp: STRING

7

ecs-task-arn

ARN der ECS-Aufgabe, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListTasks.

Parquet-Datentyp: STRING

7

ecs-task-id

ID der ECS-Aufgabe, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListTasks.

Parquet-Datentyp: STRING

7

reject-reason

Der Grund, warum der Datenverkehr abgelehnt wurde. Der mögliche Wert ist: BPA. Gibt für jeden anderen Ablehnungsgrund ein „-“ zurück. Weitere Informationen über VPC Block Public Access (BPA) finden Sie unter Sperren Sie den öffentlichen Zugriff VPCs auf Subnetze.

Parquet-Datentyp: STRING

8