Limitaciones de los logs de flujo - Amazon Virtual Private Cloud

Limitaciones de los logs de flujo

Para utilizar los logs de flujo, debe conocer las siguientes limitaciones:

  • Después de crear un registro de flujo, no verá los datos del registro de flujo hasta que haya tráfico activo para la interfaz de red, subred o VPC que haya seleccionado.

  • No se pueden habilitar los logs de flujo para VPC interconectadas con su VPC a menos que la VPC del mismo nivel se encuentre en su cuenta.

  • Después de crear un registro de flujo, no podrá cambiar su configuración ni su formato de registro. Por ejemplo, no puede asociar un rol de IAM diferente con el registro de flujo ni agregar o quitar campos en la entrada de registro de flujo. En su lugar, puede eliminar el log de flujo y crear uno nuevo con la configuración necesaria.

  • Si su interfaz de red tiene varias direcciones IPv4 y el tráfico se envía a una dirección IPv4 privada secundaria, el log de flujo mostrará la dirección IPv4 privada principal en el campo dstaddr. Para capturar la dirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

  • Si el tráfico se envía a una interfaz de red y el destino no es ninguna de las direcciones IP de la interfaz de red, el log de flujo muestra la dirección IPv4 privada principal en el campo dstaddr. Para capturar la dirección IP de destino original, cree un log de flujo con el campo pkt-dstaddr.

  • Si el tráfico se envía a una interfaz de red y el origen no es ninguna de las direcciones IP de la interfaz de red, el log de flujo muestra la dirección IPv4 privada principal en el campo srcaddr. Para capturar la dirección IP de origen original, cree un log de flujo con el campo pkt-srcaddr.

  • Si el tráfico se envía a una interfaz de red o desde una interfaz de red, los campos srcaddr y dstaddr del registro de flujo muestran siempre la dirección IPv4 privada principal, con independencia del origen o destino del paquete. Para capturar el origen o destino del paquete, cree un log de flujo con los campos pkt-srcaddr y pkt-dstaddr.

  • Cuando la interfaz de red está asociada a una instancia basada en Nitro, el intervalo de agregación siempre es igual o menor a 1 minuto, independientemente del intervalo máximo de agregación especificado.

  • Para los campos pkt-srcaddr y pkt-dstaddr, si la capa intermedia tiene habilitada la conservación de la dirección IP del cliente, en este campo se puede mostrar la IP del cliente conservada en lugar de la dirección IP de la capa intermedia.

  • Pueden omitirse algunos informes de registros de flujo durante el intervalo de agregación (consulte log-status en Campos disponibles). Esto puede deberse a una restricción de capacidad interna de AWS o a un error interno. Si utiliza AWS Cost Explorer para ver los cargos de los registros de flujo de la VPC y se omitieron algunos registros de flujo durante el intervalo de agregación de estos registros, el número de registros en el informe de AWS Cost Explorer será mayor que el número de registros de flujo que informe Amazon VPC.

  • Si utiliza el bloqueo de acceso público (BPA) de la VPC:

    • Los registros de flujo del BPA de la VPC no incluyen los registros omitidos.

    • Los registros de flujo del BPA de la VPC no incluyen bytes incluso si incorpora el campo bytes en el registro de flujo.

Los logs de flujo no capturan todo el tráfico IP. Los siguientes tipos de tráfico no se registran:

  • Tráfico generado por instancias al contactar con el servidor DNS de Amazon. Si utiliza su propio servidor DNS, sí se registrará el tráfico a ese servidor DNS.

  • Tráfico generado por una instancia de Windows para la activación de licencia de Windows para Amazon.

  • Tráfico entrante y saliente de 169.254.169.254 para metadatos de instancias.

  • Tráfico entrante y saliente de 169.254.169.123 para el Servicio de sincronización temporal de Amazon.

  • Tráfico DHCP.

  • Tráfico de origen reflejado. Verá el tráfico reflejado únicamente en el tráfico de destino.

  • Tráfico a la dirección IP reservada para el router VPC predeterminado.

  • El tráfico entre una interfaz de red de punto de enlace y una interfaz de red de Network Load Balancer.

  • Tráfico del Protocolo de resolución de direcciones (ARP).

Limitaciones específicas de los campos de ECS disponibles en la versión 7:

  • Para crear suscripciones de registros de flujo con campos de ECS, su cuenta debe contener al menos un clúster de ECS.

  • Los campos de ECS no se calculan si las tareas de ECS subyacentes no son propiedad del propietario de la suscripción del registro de flujo. Por ejemplo, si comparte una subred (SubnetA) con otra cuenta (AccountB) y, a continuación, crea una suscripción de registro de flujo para SubnetA, siAccountB inicia tareas de ECS en la subred compartida, su suscripción recibirá los registros de tráfico de las tareas de ECS iniciadas por AccountB, pero los campos de ECS de estos registros no se calcularán por motivos de seguridad.

  • Si crea suscripciones de registro de flujo con campos de ECS en el nivel de recursos de VPC/subred, cualquier tráfico generado para las interfaces de red que no sean de ECS también se entregará a sus suscripciones. Los valores de los campos de ECS serán '-' para el tráfico IP que no sea de ECS. Por ejemplo, tiene una subred (subnet-000000) y crea una suscripción de registro de flujo para esta subred con campos de ECS (fl-00000000). En subnet-000000, usted inicia una instancia EC2 (i-0000000) que está conectada a Internet y genera tráfico IP de forma activa. También inicia una tarea de ECS en ejecución (ECS-Task-1) en la misma subred. Como i-0000000 y ECS-Task-1 generan tráfico IP, su suscripción de registros de flujo fl-00000000 proporcionará los registros de tráfico de ambas entidades. Sin embargo, solo ECS-Task-1 tendrá metadatos de ECS reales para los campos de ECS que haya incluido en su formato de registro. Para el tráfico relacionado de i-0000000, estos campos tendrán un valor de '-'.

  • ecs-container-id y ecs-second-container-id se ordenan a medida que el servicio de registros de flujo de la VPC los recibe del flujo de eventos de ECS. No se garantiza que estén en el mismo orden en que aparecen en la consola ECS o en la llamada a la API DescribetTask. Si un contenedor pasa al estado DETENIDO mientras la tarea aún se está ejecutando, es posible que siga apareciendo en su registro.

  • Los metadatos del ECS y los registros de tráfico IP provienen de dos fuentes diferentes. Empezamos a calcular su tráfico de ECS en cuanto obtenemos toda la información necesaria de las dependencias principales. Después de iniciar una nueva tarea, empezamos a calcular los campos de ECS 1) cuando recibimos el tráfico IP de la interfaz de red subyacente y 2) cuando recibimos el evento de ECS que contiene los metadatos de la tarea de ECS para indicar que esta se está ejecutando. Después de detener una tarea, empezamos a calcular los campos de ECS 1) cuando ya no recibimos el tráfico IP de la interfaz de red subyacente o recibimos tráfico de IP que tiene una demora superior a un día y 2) cuando recibimos el evento de ECS que contiene los metadatos de la tarea de ECS para indicar que esta ya no se está ejecutando.

  • Solo se admiten las tareas de ECS iniciadas en modo de red de awsvpc.