Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Un enregistrement de journal de flux représente un flux de réseau dans votre VPC. Par défaut, chaque enregistrement capture un flux de trafic IP réseau (caractérisé par un 5-tuple par interface réseau) qui se produit dans un intervalle d'agrégation, également appelé fenêtre de capture.
Chaque enregistrement est une chaîne de caractères avec des champs séparés par des espaces. Un enregistrement inclut des valeurs pour les différents composants du flux IP, par exemple la source, la destination et le protocole.
Lorsque vous créez un journal de flux, vous pouvez utiliser le format par défaut pour l'enregistrement de journal de flux ou spécifier un format personnalisé.
Intervalle d'agrégation
L'intervalle d'agrégation est la période pendant laquelle un flux particulier est capturé et agrégé dans un enregistrement de journal de flux. Par défaut, l'intervalle d'agrégation maximal est de 10 minutes. Lorsque vous créez un journal de flux, vous pouvez spécifier un intervalle d'agrégation maximal d'une minute. Les journaux de flux avec un intervalle d'agrégation maximal d'une minute produisent un volume d'enregistrements de journaux de flux plus élevé que ceux avec un intervalle d'agrégation maximal de 10 minutes.
Lorsqu'une interface réseau est associée à une instance basée sur Nitro, l'intervalle d'agrégation est toujours d'une minute maximum, quel que soit celui qui a été spécifié.
Une fois les données capturées dans un intervalle d'agrégation, le traitement et la publication des données sur CloudWatch Logs ou Amazon S3 prennent plus de temps. Le service de journalisation des flux fournit généralement CloudWatch les journaux à Logs en 5 minutes environ et à Amazon S3 en 10 minutes environ. La fourniture des journaux est effectuée au mieux des possibilités disponibles. Il est donc possible que vos journaux soient retardés au-delà du délai de remise habituel.
Format par défaut
Avec le format par défaut, les enregistrements de journaux de flux incluent les champs version 2, dans l'ordre indiqué dans le tableau Champs disponibles. Vous ne pouvez pas personnaliser ou modifier le format par défaut. Pour capturer les champs supplémentaires ou un sous-ensemble de champs différent, spécifiez plutôt un format personnalisé.
Format personnalisé
Avec un format personnalisé, vous spécifiez quels champs sont inclus dans les enregistrements de journaux de flux et dans quel ordre. Cela vous permet de créer des journaux de flux qui correspondent spécifiquement à vos besoins et d'ignorer les champs qui ne sont pas pertinents. L'utilisation d'un format personnalisé peut également réduire la nécessité de faire appel à des processus distincts pour extraire des informations spécifiques des journaux de flux publiés. Vous pouvez spécifier n'importe quel nombre de champs de journal de flux disponibles, mais vous devez indiquer au moins un champ.
Champs disponibles
Le tableau suivant décrit tous les champs disponibles pour un enregistrement de journal de flux. La colonne Version indique la version des journaux de flux VPC dans laquelle le champ a été introduit. Le format par défaut inclut tous les champs version 2, dans même ordre que dans le tableau.
Lorsque vous publiez des données du journal de flux sur Amazon S3, le type de données des champs dépend du format du journal de flux. Si le format est du texte brut, tous les champs sont de type STRING. Si le format est Parquet, consultez le tableau pour les types de données des champs.
Si un champ ne s'applique pas à un enregistrement spécifique ou pourrait ne pas être calculé pour celui-ci, ce dernier affiche le symbole « - » pour cette entrée. Les champs de métadonnées qui ne proviennent pas directement de l'en-tête des paquets sont des approximations optimales, et leurs valeurs peuvent être manquantes ou inexactes.
| Champ | Description | Version |
|---|---|---|
|
version |
Version des journaux de flux VPC Si vous utilisez le format par défaut, la version est 2. Si vous utilisez un format personnalisé, la version est la version la plus élevée parmi les champs spécifiés. Par exemple, si vous spécifiez uniquement des champs issus de la version 2, la version est 2. Si vous spécifiez un mélange de champs des versions 2, 3 et 4, la version est 4. Type de données Parquet : INT_32 |
2 |
|
account-id |
ID de AWS compte du propriétaire de l'interface réseau source pour laquelle le trafic est enregistré. Si l'interface réseau est créée par un AWS service, par exemple lors de la création d'un point de terminaison VPC ou d'un Network Load Balancer, l'enregistrement peut s'afficher unknown pour ce champ. Type de données Parquet : CHAÎNE |
2 |
|
interface-id |
ID de l'interface réseau pour laquelle le trafic est enregistré. Type de données Parquet : CHAÎNE |
2 |
|
srcaddr |
Pour le trafic entrant, il s'agit de l'adresse IP de la source du trafic. Pour le trafic sortant, il s'agit de l' IPv4 adresse privée ou de l' IPv6 adresse de l'interface réseau qui envoie le trafic. Consultez aussi pkt-srcaddr. Type de données Parquet : CHAÎNE |
2 |
|
dstaddr |
Adresse de destination pour le trafic sortant, ou IPv6 adresse IPv4 ou de l'interface réseau pour le trafic entrant sur l'interface réseau. L' IPv4 adresse de l'interface réseau est toujours son IPv4 adresse privée. Consultez aussi pkt-dstaddr. Type de données Parquet : CHAÎNE |
2 |
|
srcport |
Port source du trafic Type de données Parquet : INT_32 |
2 |
|
dstport |
Port de destination du trafic Type de données Parquet : INT_32 |
2 |
|
protocol |
Numéro de protocole IANA du trafic (pour plus d'informations, consultez la page Assigned Internet Protocol Numbers Type de données Parquet : INT_32 |
2 |
|
packets |
Nombre de paquets transférés pendant le flux. Type de données Parquet : INT_64 |
2 |
|
bytes |
Nombre d'octets transférés pendant le flux. Type de données Parquet : INT_64 |
2 |
|
start |
Heure, en secondes Unix, à laquelle le premier paquet du flux a été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondes peuvent s'écouler après la transmission ou la réception du paquet sur l'interface réseau. Type de données Parquet : INT_64 |
2 |
|
end |
Heure, en secondes Unix, à laquelle le dernier paquet du flux a été reçu dans l'intervalle d'agrégation. Jusqu'à 60 secondes peuvent s'écouler après la transmission ou la réception du paquet sur l'interface réseau. Type de données Parquet : INT_64 |
2 |
|
action |
Action associée au trafic :
Type de données Parquet : CHAÎNE |
2 |
|
log-status |
Statut de journalisation du journal de flux :
Type de données Parquet : CHAÎNE |
2 |
|
vpc-id |
ID du VPC qui contient l'interface réseau pour laquelle le trafic est enregistré. Type de données Parquet : CHAÎNE |
3 |
|
subnet-id |
ID du sous-réseau qui contient l'interface réseau pour laquelle le trafic est enregistré. Type de données Parquet : CHAÎNE |
3 |
|
instance-id |
ID de l'instance associée à l'interface réseau pour laquelle le trafic est enregistré, si vous êtes propriétaire de l'instance. Renvoie un symbole « - » pour une interface réseau gérée par demandeur, par exemple, l'interface réseau pour une passerelle NAT. Type de données Parquet : CHAÎNE |
3 |
|
tcp-flags |
Valeur de masque de bits pour les indicateurs TCP suivants :
Les indicateurs TCP peuvent être interrogés pendant l'intervalle d'agrégation. Pour les connexions courtes, les indicateurs peuvent être définis sur la même ligne dans l'enregistrement de journal de flux, par exemple, 19 pour SYN-ACK et FIN, et 3 pour SYN et FIN. Pour obtenir un exemple, consultez Séquence d'indicateur TCP. Pour des informations générales sur les indicateurs TCP (comme la signification des indicateurs tels que FIN, SYN et ACK), consultez Structure d'un segment TCP Type de données Parquet : INT_32 |
3 |
|
type |
Type de trafic. Les valeurs possibles sont : IPv4 | IPv6 | EFA. Pour plus d'informations, consultez Elastic Fabric Adapter. Type de données Parquet : CHAÎNE |
3 |
|
pkt-srcaddr |
Adresse IP source (d'origine) du trafic au niveau du paquet. Utilisez ce champ avec le srcaddr champ pour faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle les flux transitent et l'adresse IP source d'origine du trafic. Par exemple, lorsque le trafic transite par le biais d'une interface réseau pour une passerelle NAT ou lorsque l'adresse IP d'un pod dans Amazon EKS est différente de celle de l'interface réseau du nœud d'instance sur lequel le pod s'exécute (pour la communication dans un VPC). Type de données Parquet : CHAÎNE |
3 |
|
pkt-dstaddr |
Adresse IP de destination (d'origine) du trafic au niveau du paquet. Utilisez ce champ avec le dstaddr champ pour faire la distinction entre l'adresse IP d'une couche intermédiaire via laquelle le trafic transite et l'adresse IP de destination finale du trafic. Par exemple, lorsque le trafic transite par le biais d'une interface réseau pour une passerelle NAT ou lorsque l'adresse IP d'un pod dans Amazon EKS est différente de celle de l'interface réseau du nœud d'instance sur lequel le pod s'exécute (pour la communication dans un VPC). Type de données Parquet : CHAÎNE |
3 |
|
region |
Région contenant l'interface réseau pour laquelle le trafic est enregistré. Type de données Parquet : CHAÎNE |
4 |
|
az-id |
ID de la zone de disponibilité qui contient l'interface réseau pour laquelle le trafic est enregistré. Si le trafic provient d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour ce champ. Type de données Parquet : CHAÎNE |
4 |
|
sublocation-type |
Type de sous-emplacement renvoyé dans le champ sublocation-id . Les valeurs possibles sont les suivantes : wavelength Type de données Parquet : CHAÎNE |
4 |
|
sublocation-id |
ID du sous-emplacement qui contient l'interface réseau pour laquelle le trafic est enregistré. Si le trafic ne provient pas d'un sous-emplacement, l'enregistrement affiche un symbole « - » pour ce champ. Type de données Parquet : CHAÎNE |
4 |
|
pkt-src-aws-service |
Le nom du sous-ensemble des plages d'adresses IP du pkt-srcaddr champ, si l'adresse IP source est celle d'un AWS service. Si le pkt-srcaddr appartient à une plage superposée, il n'affichera qu'un seul des pkt-src-aws-service codes de service. AWS Les valeurs possibles sont : AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS. Type de données Parquet : CHAÎNE |
5 |
|
pkt-dst-aws-service |
Le nom du sous-ensemble des plages d'adresses IP du pkt-dstaddr champ, si l'adresse IP de destination est pour un AWS service. Pour obtenir une liste des valeurs possibles, consultez le champ pkt-src-aws-service . Type de données Parquet : CHAÎNE |
5 |
|
flow-direction |
La direction du flux par rapport à l'interface où le trafic est capturé. Les valeurs possibles sont : ingress | egress. Type de données Parquet : CHAÎNE |
5 |
|
traffic-path |
Chemin emprunté par le trafic de sortie vers la destination. Pour déterminer si le trafic est un trafic de sortie, cochez la case du champ flow-direction . Les valeurs possibles sont les suivantes. Si aucune des valeurs ne s'applique, le champ est défini sur « - ».
Type de données Parquet : INT_32 |
5 |
|
ecs-cluster-arn |
AWS Nom de ressource (ARN) du cluster ECS si le trafic provient d'une tâche ECS en cours d'exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs :ListClusters. Type de données Parquet : CHAÎNE |
7 |
|
ecs-cluster-name |
Nom du cluster ECS si le trafic provient d’une tâche ECS en cours d’exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs :ListClusters. Type de données Parquet : CHAÎNE |
7 |
|
ecs-container-instance-arn |
ARN de l'instance de conteneur ECS si le trafic provient d'une tâche ECS en cours d'exécution sur une EC2 instance. Si le fournisseur de capacité est AWS Fargate, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListContainerInstances. Type de données Parquet : CHAÎNE |
7 |
|
ecs-container-instance-id |
ID de l'instance de conteneur ECS si le trafic provient d'une tâche ECS en cours d'exécution sur une EC2 instance. Si le fournisseur de capacité est AWS Fargate, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListContainerInstances. Type de données Parquet : CHAÎNE |
7 |
|
ecs-container-id |
ID d’exécution Docker du conteneur si le trafic provient d’une tâche ECS en cours d’exécution. S’il existe un ou plusieurs conteneurs dans la tâche ECS, il s’agira de l’ID d’exécution Docker du premier conteneur. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs :ListClusters. Type de données Parquet : CHAÎNE |
7 |
|
ecs-second-container-id |
ID d’exécution Docker du conteneur si le trafic provient d’une tâche ECS en cours d’exécution. S’il existe plusieurs conteneurs dans la tâche ECS, il s’agira de l’ID d’exécution Docker du second conteneur. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs :ListClusters. Type de données Parquet : CHAÎNE |
7 |
|
ecs-service-name |
Nom du service ECS si le trafic provient d’une tâche ECS en cours d’exécution et que la tâche ECS est lancée par un service ECS. Si la tâche ECS n’est pas lancée par un service ECS, ce champ sera « - ». Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListServices. Type de données Parquet : CHAÎNE |
7 |
|
ecs-task-definition-arn |
ARN de la définition de tâche ECS si le trafic provient d’une tâche ECS en cours d’exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs : ListTaskDefinitions Type de données Parquet : CHAÎNE |
7 |
|
ecs-task-arn |
ARN de la tâche ECS si le trafic provient d’une tâche ECS en cours d’exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListTasks. Type de données Parquet : CHAÎNE |
7 |
|
ecs-task-id |
ID de la tâche ECS si le trafic provient d’une tâche ECS en cours d’exécution. Pour inclure ce champ dans votre abonnement, vous devez être autorisé à appeler ecs : ListClusters et ecs :ListTasks. Type de données Parquet : CHAÎNE |
7 |
|
reject-reason |
Motif du rejet du trafic. Valeurs possibles : BPA. Renvoie un « - » pour toute autre motif de rejet. Pour plus d’informations sur la fonctionnalité VPC Block Public Access (BPA), consultez Bloquer l'accès public aux sous-réseaux VPCs et aux sous-réseaux. Type de données Parquet : CHAÎNE |
8 |
