Einschränkungen von Flow-Protokollen - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einschränkungen von Flow-Protokollen

Machen Sie sich bei der Verwendung von Flow-Protokollen folgende Beschränkungen bewusst:

  • Sie können keine Flow-Logs für VPCs das Peering mit Ihrem aktivieren, VPC es sei denn, der Peer VPC ist in Ihrem Konto.

  • Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie seine Konfiguration und das Format des Flow-Protokolldatensatzes nicht mehr ändern. Sie können dem Flow-Protokoll beispielsweise keine andere IAM Rolle zuordnen oder Felder im Flow-Log-Datensatz hinzufügen oder entfernen. Sie müssen in diesem Fall das Flow-Protokoll löschen und ein neues Protokoll mit der erforderlichen Konfiguration erstellen.

  • Wenn Ihre Netzwerkschnittstelle mehrere IPv4 Adressen hat und der Datenverkehr an eine sekundäre private IPv4 Adresse gesendet wird, zeigt das Flow-Protokoll die primäre private IPv4 Adresse in dem dstaddr Feld an. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-dstaddr, um die ursprüngliche Ziel-IP-Adresse zu erfassen.

  • Wenn der Datenverkehr an eine Netzwerkschnittstelle gesendet wird und das Ziel keine der IP-Adressen der Netzwerkschnittstelle ist, zeigt das Flussprotokoll die primäre private IPv4 Adresse in dem dstaddr Feld an. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-dstaddr, um die ursprüngliche Ziel-IP-Adresse zu erfassen.

  • Wenn der Datenverkehr von einer Netzwerkschnittstelle gesendet wird und es sich bei der Quelle nicht um eine der IP-Adressen der Netzwerkschnittstelle handelt, zeigt das Flussprotokoll die primäre private IPv4 Adresse in dem srcaddr Feld an. Erstellen Sie ein Flow-Protokoll mit dem Feld pkt-srcaddr, um die ursprüngliche Quell-IP-Adresse zu erfassen.

  • Wenn Datenverkehr an eine Netzwerkschnittstelle gesendet oder von einer Netzwerkschnittstelle gesendet wird, zeigen die dstaddr Felder srcaddr und im Flussprotokoll immer die primäre private IPv4 Adresse an, unabhängig von der Paketquelle oder dem Ziel. Erstellen Sie ein Flow-Protokoll mit den Feldern pkt-srcaddr und pkt-dstaddr, um Paketquelle oder -ziel zu erfassen.

  • Wenn Ihre Netzwerkschnittstelle einer Nitro-basierten Instance zugewiesen ist, beträgt das Aggregationsintervall immer 1 Minute oder weniger, unabhängig vom angegebenen maximalen Aggregationsintervall.

  • Einige Flow-Protokolldatensätze können während des Aggregationsintervalls übersprungen werden (siehe Log-Status unter). Verfügbare Felder Dies kann durch eine interne AWS Kapazitätsbeschränkung oder einen internen Fehler verursacht werden. Wenn Sie VPC Flow-Log-Gebühren anzeigen und einige Flow-Logs während des Flow-Log-Aggregationsintervalls übersprungen AWS Cost Explorer werden, ist die Anzahl der gemeldeten Flow-Logs höher als die Anzahl der von Amazon veröffentlichten Flow-Logs. AWS Cost Explorer VPC

  • Wenn für pkt-srcaddr die Zwischenschicht die Beibehaltung der Client-IP-Adresse aktiviert ist, wird in diesem Feld möglicherweise die beibehaltene Client-IP anstelle der IP-Adresse der Zwischenschicht angezeigt. pkt-dstaddr

Flow-Protokolle erfassen nicht alle Arten von IP-Datenverkehr. Für folgende Arten von Datenverkehr werden keine Daten erfasst:

  • Traffic, der von Instances generiert wird, wenn sie den DNS Amazon-Server kontaktieren. Wenn Sie Ihren eigenen DNS Server verwenden, wird der gesamte Datenverkehr zu diesem DNS Server protokolliert.

  • Datenverkehr von Windows-Instances zur Lizenzaktivierung von Amazon Windows

  • Datenverkehr zu und von 169.254.169.254 für Instance-Metadaten

  • Datenverkehr zu und von 169.254.169.123 für den Amazon Time Sync Service.

  • DHCPVerkehr.

  • Der Verkehr spiegelte den Quellverkehr wider. Sie sehen nur gespiegelten Verkehr als Zieldatenverkehr.

  • Datenverkehr zur reservierten IP-Adresse für den VPC Standardrouter.

  • Datenverkehr zwischen einer Endpunkt-Netzwerkschnittstelle und einer Network Load Balancer-Netzwerkschnittstelle.

  • Verkehr mit dem Address Resolution Protocol (ARP).

Spezifische Einschränkungen für ECS Felder, die in Version 7 verfügbar sind:

  • Um Flow-Log-Abonnements mit ECS Feldern zu erstellen, muss Ihr Konto mindestens einen ECS Cluster enthalten.

  • ECSFelder werden nicht berechnet, wenn die zugrunde liegenden ECS Aufgaben nicht dem Besitzer des Flow-Protokollabonnements gehören. Wenn Sie beispielsweise ein Subnetz (SubnetA) mit einem anderen Konto (AccountB) gemeinsam nutzen und dann ein Flow-Protokollabonnement für den Fall erstellenSubnetA, dass ECS Aufgaben im gemeinsam genutzten Subnetz AccountB gestartet werden, empfängt Ihr Abonnement Verkehrsprotokolle von ECS Aufgaben, die von gestartet wurden, AccountB aber die ECS Felder für diese Protokolle werden aus Sicherheitsgründen nicht berechnet.

  • Wenn Sie Flow-Protokollabonnements mit ECS Feldern auf der VPC /Subnet-Ressourcenebene erstellen, wird jeglicher Datenverkehr, der für Schnittstellen außerhalb des ECS Netzwerks generiert wird, auch für Ihre Abonnements bereitgestellt. Die Werte für ECS Felder sind '-' für ECS Nicht-IP-Verkehr. Sie haben beispielsweise ein Subnetz (subnet-000000) und erstellen mit ECS fields (fl-00000000) ein Flow-Log-Abonnement für dieses Subnetz. In subnet-000000 starten Sie eine EC2 Instance (i-0000000), die mit dem Internet verbunden ist und aktiv IP-Verkehr generiert. Sie starten auch eine laufende ECS Aufgabe (ECS-Task-1) im selben Subnetz. Da i-0000000 sowohl ECS-Task-1 als auch IP-Verkehr generieren, liefert Ihr fl-00000000 Flow-Log-Abonnement Verkehrsprotokolle für beide Entitäten. Es enthält jedoch nur ECS-Task-1 die tatsächlichen ECS Metadaten für die ECS Felder, die Sie in Ihre Felder aufgenommen habenlogFormat. Für i-0000000 verwandten Traffic haben diese Felder den Wert '-'.

  • ecs-container-idund ecs-second-container-id werden so sortiert, wie der VPC Flow Logs-Dienst sie aus dem ECS Event-Stream empfängt. Es kann nicht garantiert werden, dass sie sich in derselben Reihenfolge befinden, in der Sie sie auf der ECS Konsole oder im DescribeTask API Anruf sehen. Wenn ein Container in einen STOPPED Status wechselt, während die Aufgabe noch ausgeführt wird, wird er möglicherweise weiterhin in Ihrem Protokoll angezeigt.

  • Die ECS Metadaten und IP-Verkehrsprotokolle stammen aus zwei verschiedenen Quellen. Wir beginnen mit der Berechnung Ihres ECS Datenverkehrs, sobald wir alle erforderlichen Informationen aus den Upstream-Abhängigkeiten erhalten haben. Nachdem Sie eine neue Aufgabe gestartet haben, beginnen wir mit der Berechnung Ihrer ECS Felder, 1) wenn wir IP-Verkehr für die zugrunde liegende Netzwerkschnittstelle erhalten und 2) wenn wir das ECS Ereignis erhalten, das die Metadaten für Ihre ECS Aufgabe enthält, um anzuzeigen, dass die Aufgabe jetzt ausgeführt wird. Nachdem Sie eine Aufgabe beendet haben, beenden wir die Berechnung Ihrer ECS Felder, 1) wenn wir keinen IP-Verkehr mehr für die zugrunde liegende Netzwerkschnittstelle erhalten oder wenn wir IP-Verkehr erhalten, der um mehr als einen Tag verzögert ist, und 2) wenn wir das ECS Ereignis erhalten, das die Metadaten für Ihre ECS Aufgabe enthält, um anzuzeigen, dass Ihre Aufgabe nicht mehr ausgeführt wird.

  • Es ECS werden nur Aufgaben unterstützt, die im awsvpc Netzwerkmodus gestartet wurden.