Enregistrements de journaux de flux - Amazon Virtual Private Cloud
Intervalle d'agrégationFormat par défautFormat personnaliséChamps disponibles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrements de journaux de flux

Un enregistrement de journal de flux représente un flux de réseau dans votreVPC. Par défaut, chaque enregistrement capture un flux de trafic IP réseau (caractérisé par un 5-tuple par interface réseau) qui se produit dans un intervalle d'agrégation, également appelé fenêtre de capture.

Chaque enregistrement est une chaîne de caractères avec des champs séparés par des espaces. Un enregistrement inclut des valeurs pour les différents composants du flux IP, par exemple la source, la destination et le protocole.

Lorsque vous créez un journal de flux, vous pouvez utiliser le format par défaut pour l'enregistrement de journal de flux ou spécifier un format personnalisé.

Intervalle d'agrégation

L'intervalle d'agrégation est la période pendant laquelle un flux particulier est capturé et agrégé dans un enregistrement de journal de flux. Par défaut, l'intervalle d'agrégation maximal est de 10 minutes. Lorsque vous créez un journal de flux, vous pouvez spécifier un intervalle d'agrégation maximal d'une minute. Les journaux de flux avec un intervalle d'agrégation maximal d'une minute produisent un volume d'enregistrements de journaux de flux plus élevé que ceux avec un intervalle d'agrégation maximal de 10 minutes.

Lorsqu'une interface réseau est associée à une instance basée sur Nitro, l'intervalle d'agrégation est toujours d'une minute maximum, quel que soit celui qui a été spécifié.

Une fois que les données sont capturées au sein d'un intervalle d'agrégation, un délai supplémentaire est nécessaire pour le traitement et la publication des données vers CloudWatch Logs ou Amazon S3. Le service de journaux de flux transmet généralement les CloudWatch journaux à Logs en environ 5 minutes et à Amazon S3 en environ 10 minutes. La fourniture des journaux est effectuée au mieux des possibilités disponibles. Il est donc possible que vos journaux soient retardés au-delà du délai de remise habituel.

Format par défaut

Avec le format par défaut, les enregistrements de journaux de flux incluent les champs version 2, dans l'ordre indiqué dans le tableau Champs disponibles. Vous ne pouvez pas personnaliser ou modifier le format par défaut. Pour capturer les champs supplémentaires ou un sous-ensemble de champs différent, spécifiez plutôt un format personnalisé.

Format personnalisé

Avec un format personnalisé, vous spécifiez quels champs sont inclus dans les enregistrements de journaux de flux et dans quel ordre. Cela vous permet de créer des journaux de flux qui correspondent spécifiquement à vos besoins et d'ignorer les champs qui ne sont pas pertinents. L'utilisation d'un format personnalisé peut également réduire la nécessité de faire appel à des processus distincts pour extraire des informations spécifiques des journaux de flux publiés. Vous pouvez spécifier n'importe quel nombre de champs de journal de flux disponibles, mais vous devez indiquer au moins un champ.

Champs disponibles

Le tableau suivant décrit tous les champs disponibles pour un enregistrement de journal de flux de . La colonne Version indique la version des journaux de VPC flux dans laquelle le champ a été introduit. Le format par défaut inclut tous les champs version 2, dans même ordre que dans le tableau.

Lorsque vous publiez des données du journal de flux sur Amazon S3, le type de données des champs dépend du format du journal de flux. Si le format est en texte brut, tous les champs sont de type STRING. Si le format est Parquet, consultez le tableau des types de données de champ.

Si un champ ne s'applique pas à un enregistrement spécifique ou pourrait ne pas être calculé pour celui-ci, ce dernier affiche le symbole « - » pour cette entrée. Les champs de métadonnées qui ne proviennent pas directement de l'en-tête des paquets sont des approximations optimales, et leurs valeurs peuvent être manquantes ou inexactes.

Champ Description Version

version

Version des journaux de VPC flux Si vous utilisez le format par défaut, la version est 2. Si vous utilisez un format personnalisé, la version est la version la plus élevée parmi les champs spécifiés. Par exemple, si vous spécifiez uniquement des champs issus de la version 2, la version est 2. Si vous spécifiez un mélange de champs des versions 2, 3 et 4, la version est 4.

Type de données du parquet : INT _32

 2

account-id

ID de AWS compte du propriétaire de l'interface réseau source pour laquelle le trafic est enregistré. Si l'interface réseau est créée par un AWS service, par exemple lors de la création d'un VPC point de terminaison ou de Network Load Balancer, l'enregistrement peut afficher unknown pour ce champ.

Type de données du parquet : STRING

 2

interface-id

ID de l'interface réseau pour laquelle le trafic est enregistré.

Type de données du parquet : STRING

 2

srcaddr

Adresse source pour le trafic entrant, ou IPv6 adresse IPv4 ou de l'interface réseau pour le trafic sortant sur l'interface réseau. L'IPv4adresse de l'interface réseau correspond toujours à son IPv4 adresse privée. Consultez aussi pkt-srcaddr.

Type de données du parquet : STRING

 2

dstaddr

Adresse de destination pour le trafic sortant, ou IPv6 adresse IPv4 ou de l'interface réseau pour le trafic entrant sur l'interface réseau. L'IPv4adresse de l'interface réseau correspond toujours à son IPv4 adresse privée. Consultez aussi pkt-dstaddr.

Type de données du parquet : STRING

 2

srcport

Port source du trafic

Type de données du parquet : INT _32

 2

dstport

Port de destination du trafic

Type de données du parquet : INT _32

 2

protocol

Numéro de IANA protocole du trafic. (pour plus d'informations, consultez la page Assigned Internet Protocol Numbers).

Type de données du parquet : INT _32

 2

packets

Nombre de paquets transférés pendant le flux.

Type de données du parquet : INT _64

 2

bytes

Nombre d'octets transférés pendant le flux.

Type de données du parquet : INT _64

 2

start

Heure, en secondes Unix, à laquelle le premier paquet du flux a été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondes peuvent s'écouler après la transmission ou la réception du paquet sur l'interface réseau.

Type de données du parquet : INT _64

 2

end

Heure, en secondes Unix, à laquelle le dernier paquet du flux a été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondes peuvent s'écouler après la transmission ou la réception du paquet sur l'interface réseau.

Type de données du parquet : INT _64

 2

action

Action associée au trafic :

  • ACCEPT — Le trafic a été accepté.

  • REJECT — Le trafic a été rejeté. Par exemple, le trafic n'a pas été autorisé par les groupes de sécurité ou le réseauACLs, ou des paquets sont arrivés après la fermeture de la connexion.

Type de données du parquet : STRING

 2

log-status

Statut de journalisation du journal de flux :

  • OK — Les données sont consignées normalement dans les destinations choisies.

  • NODATA — Il n'y a eu aucun trafic réseau depuis ou vers l'interface réseau pendant l'intervalle d'agrégation.

  • SKIPDATA — Certains enregistrements de journaux de flux ont été ignorés pendant l'intervalle d'agrégation. Cela peut être dû à une contrainte de capacité interne ou à une erreur interne.

    Certains enregistrements du journal de flux peuvent être ignorés pendant l'intervalle d'agrégation (voir log-status in). Champs disponibles Cela peut être dû à une contrainte de AWS capacité interne ou à une erreur interne. Si vous utilisez AWS Cost Explorer pour consulter les frais des journaux de VPC flux et que certains journaux de flux sont ignorés pendant l'intervalle d'agrégation des journaux de flux, le nombre de journaux de flux signalés AWS Cost Explorer sera supérieur au nombre de journaux de flux publiés par AmazonVPC.

Type de données du parquet : STRING

 2

vpc-id

ID du VPC qui contient l'interface réseau pour laquelle le trafic est enregistré.

Type de données du parquet : STRING

 3

subnet-id

ID du sous-réseau qui contient l'interface réseau pour laquelle le trafic est enregistré.

Type de données du parquet : STRING

 3

instance-id

ID de l'instance associée à l'interface réseau pour laquelle le trafic est enregistré, si vous êtes propriétaire de l'instance. Renvoie un symbole « - » pour une interface réseau gérée par demandeur, par exemple, l'interface réseau pour une NAT passerelle.

Type de données du parquet : STRING

 3

tcp-flags

Valeur de masque de bits pour les TCP indicateurs suivants :

  • FIN— 1

  • SYN— 2

  • RST— 4

  • SYN- ACK — 18

Si aucun indicateur pris en charge n'est enregistré, la valeur de l'TCPindicateur est 0. Par exemple, étant donné que les indicateurs tcp ne prennent pas en charge la journalisation ACK ou les PSH indicateurs, les enregistrements de trafic avec ces indicateurs non pris en charge donneront aux indicateurs tcp la valeur 0. Si, toutefois, un indicateur non pris en charge est accompagné d'un indicateur pris en charge, nous indiquerons la valeur de l'indicateur pris en charge. Par exemple, s'ACKil fait partie de SYN -ACK, il indique 18. Et s'il existe un enregistrement tel que SYN +ECE, puisque SYN c'est un indicateur pris en charge et ne l'ECEest pas, la valeur de l'TCPindicateur est 2. Si, pour une raison quelconque, la combinaison d'indicateurs n'est pas valide et que la valeur ne peut pas être calculée, la valeur est « - ». Si aucun indicateur n'est envoyé, la valeur de l'TCPindicateur est 0.

TCPles indicateurs peuvent être interrogés pendant l'intervalle d'agrégation. Pour les connexions courtes, les indicateurs peuvent être définis sur la même ligne dans l'enregistrement de journal de flux, par exemple, 19 pour SYN - ACK et FIN 3 pour SYN etFIN. Pour obtenir un exemple, consultez TCPSéquence de drapeau.

Pour des informations générales sur les TCP indicateurs (comme la signification des indicateurs tels que FINSYN, etACK), consultez Structure d'un TCP segment sur Wikipédia.

Type de données du parquet : INT _32

 3

type

Type de trafic. Les valeurs possibles sont : IPv4 | IPv6 | EFA. Pour plus d'informations, consultez Elastic Fabric Adapter (EFA).

Type de données du parquet : STRING

 3

pkt-srcaddr

Adresse IP source (d'origine) du trafic au niveau du paquet. Utilisez ce champ avec le srcaddr champ pour faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic. Par exemple, lorsque le trafic transite par le biais d'une interface réseau pour une NAT passerelle ou lorsque l'adresse IP d'un pod dans Amazon EKS est différente de celle de l'interface réseau du nœud d'instance sur lequel le pod s'exécute (pour la communication dans unVPC).

Type de données du parquet : STRING

 3

pkt-dstaddr

Adresse IP de destination (d'origine) du trafic au niveau du paquet. Utilisez ce champ avec le dstaddr champ pour faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle le trafic transite et l'adresse IP de destination finale du trafic. Par exemple, lorsque le trafic transite par le biais d'une interface réseau pour une NAT passerelle ou lorsque l'adresse IP d'un pod dans Amazon EKS est différente de celle de l'interface réseau du nœud d'instance sur lequel le pod s'exécute (pour la communication dans unVPC).

Type de données du parquet : STRING

 3

region

Région contenant l'interface réseau pour laquelle le trafic est enregistré.

Type de données du parquet : STRING

4

az-id

ID de la zone de disponibilité qui contient l'interface réseau pour laquelle le trafic est enregistré. Si le trafic provient d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour ce champ.

Type de données du parquet : STRING

4

sublocation-type

Type de sous-emplacement renvoyé dans le champ sublocation-id . Les valeurs possibles sont les suivantes : wavelength | outpost | localzone. Si le trafic ne provient pas d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour ce champ.

Type de données du parquet : STRING

4

sublocation-id

ID du sous-emplacement qui contient l'interface réseau pour laquelle le trafic est enregistré. Si le trafic ne provient pas d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour ce champ.

Type de données du parquet : STRING

4

pkt-src-aws-service

Le nom du sous-ensemble des plages d'adresses IP du pkt-srcaddr champ, si l'adresse IP source correspond à un AWS service. Si le pkt-srcaddr appartient à une plage superposée, il n'affichera qu'un seul des pkt-src-aws-service codes de service. AWS Les valeurs possibles sont : AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.

Type de données du parquet : STRING

5

pkt-dst-aws-service

Le nom du sous-ensemble des plages d'adresses IP du pkt-dstaddr champ, si l'adresse IP de destination correspond à un AWS service. Pour obtenir une liste des valeurs possibles, consultez le champ pkt-src-aws-service .

Type de données du parquet : STRING

5

flow-direction

La direction du flux par rapport à l'interface où le trafic est capturé. Les valeurs possibles sont : ingress | egress.

Type de données du parquet : STRING

5

traffic-path

Chemin emprunté par le trafic de sortie vers la destination. Pour déterminer si le trafic est un trafic de sortie, cochez la case du champ flow-direction . Les valeurs possibles sont les suivantes. Si aucune des valeurs ne s'applique, le champ est défini sur « - ».

  • 1 — Via une autre ressource dans la même ressourceVPC, y compris les ressources qui créent une interface réseau dans VPC

  • 2 — Via une passerelle Internet ou un point de VPC terminaison de passerelle

  • 3 — Via une passerelle réseau privé virtuel

  • 4 — Via une connexion d'appairage VPC intra-région

  • 5 — Via une connexion d'appairage entre VPC régions

  • 6 — Via une passerelle locale

  • 7 — Via un point de VPC terminaison de passerelle (instances basées sur Nitro uniquement)

  • 8 — Via une passerelle Internet (instances basées sur Nitro uniquement)

Type de données du parquet : INT _32

5

ecs-cluster-arn

AWS Nom de ressource (ARN) du ECS cluster si le trafic provient d'une ECS tâche en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez disposer d'une autorisation pour appeler ecs :ListClusters.

Type de données du parquet : STRING

7

ecs-cluster-name

Nom du ECS cluster si le trafic provient d'une ECS tâche en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez disposer d'une autorisation pour appeler ecs :ListClusters.

Type de données du parquet : STRING

7

ecs-container-instance-arn

ARNde l'instance de ECS conteneur si le trafic provient d'une ECS tâche en cours d'exécution sur une EC2 instance. Si le fournisseur de capacité l'est AWS Fargate, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListContainerInstances.

Type de données du parquet : STRING

7

ecs-container-instance-id

ID de l'instance de ECS conteneur si le trafic provient d'une ECS tâche en cours d'exécution sur une EC2 instance. Si le fournisseur de capacité l'est AWS Fargate, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListContainerInstances.

Type de données du parquet : STRING

7

ecs-container-id

ID d'exécution Docker du conteneur si le trafic provient d'une ECS tâche en cours d'exécution. S'il existe un ou plusieurs conteneurs dans la ECS tâche, il s'agira de l'ID d'exécution docker du premier conteneur. Pour inclure ce champ dans votre abonnement, vous devez disposer d'une autorisation pour appeler ecs :ListClusters.

Type de données du parquet : STRING

7

ecs-second-container-id

ID d'exécution Docker du conteneur si le trafic provient d'une ECS tâche en cours d'exécution. S'il existe plusieurs conteneurs dans la ECS tâche, il s'agira de l'ID d'exécution Docker du deuxième conteneur. Pour inclure ce champ dans votre abonnement, vous devez disposer d'une autorisation pour appeler ecs :ListClusters.

Type de données du parquet : STRING

7

ecs-service-name

Nom du ECS service si le trafic provient d'une ECS tâche en cours d'exécution et que la ECS tâche est démarrée par un ECS service. Si la ECS tâche n'est pas démarrée par un ECS service, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListServices.

Type de données du parquet : STRING

7

ecs-task-definition-arn

ARNde la définition de ECS tâche si le trafic provient d'une ECS tâche en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs : ListTaskDefinitions

Type de données du parquet : STRING

7

ecs-task-arn

ARNde la ECS tâche si le trafic provient d'une ECS tâche en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListTasks.

Type de données du parquet : STRING

7

ecs-task-id

ID de la ECS tâche si le trafic provient d'une ECS tâche en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListTasks.

Type de données du parquet : STRING

7

Motif du rejet

Raison pour laquelle le trafic a été rejeté. Valeurs possibles :BPA. Renvoie un « - » pour toute autre raison de rejet. Pour plus d'informations sur le VPC blocage de l'accès public (BPA), consultezBloquer l'accès public pour les sous-réseaux VPCs et les sous-réseaux.

Type de données du parquet : STRING

8