Limitations des journaux de flux - Amazon Virtual Private Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitations des journaux de flux

Lorsque vous utilisez des journaux de flux, vous devez tenir compte des limitations suivantes :

  • Après avoir créé un journal de flux, vous ne verrez pas les données du journal de flux tant qu'il n'y aura pas de trafic actif pour l'interface réseau, le sous-réseau ou VPC celui que vous avez sélectionné.

  • Vous ne pouvez pas activer les journaux de flux VPCs qui sont appairés à votre compte, VPC sauf si l'pair VPC est inclus dans votre compte.

  • Une fois que vous avez créé un journal de flux, vous ne pouvez pas modifier sa configuration ou le format d'enregistrement du journal de flux. Par exemple, vous ne pouvez pas associer un IAM rôle différent au journal de flux ou ajouter/supprimer des champs dans l'enregistrement de journal de flux. En revanche, vous pouvez supprimer le journal de flux et en créer un autre avec la configuration requise.

  • Si votre interface réseau comporte plusieurs IPv4 adresses et que le trafic est envoyé vers une IPv4 adresse privée secondaire, le journal de flux affiche l'IPv4adresse privée principale dans le dstaddr champ. Pour capturer l'adresse IP de destination d'origine, créez un journal de flux avec le champ pkt-dstaddr.

  • Si le trafic est envoyé à une interface réseau et que la destination n'est pas l'une des adresses IP de l'interface réseau, le journal de flux affiche l'IPv4adresse privée principale dans le dstaddr champ. Pour capturer l'adresse IP de destination d'origine, créez un journal de flux avec le champ pkt-dstaddr.

  • Si le trafic est envoyé depuis une interface réseau et que la source n'est pas l'une des adresses IP de l'interface réseau, le journal de flux affiche l'IPv4adresse privée principale dans le srcaddr champ. Pour capturer l'adresse IP source d'origine, créez un journal de flux avec le champ pkt-srcaddr.

  • Si le trafic est envoyé depuis ou vers une interface réseau, les dstaddr champs srcaddr et du journal de flux affichent toujours l'IPv4adresse privée principale, quelle que soit la source ou la destination du paquet. Pour capturer la source ou la destination du paquet, créez un journal de flux avec les champs pkt-srcaddr et pkt-dstaddr.

  • Lorsque votre interface réseau est attachée à une instance basée sur Nitro, l'intervalle d'agrégation est toujours d'une minute maximum, quel que soit l'intervalle d'agrégation maximal spécifié.

  • Pour pkt-dstaddr les champs pkt-srcaddr et, si la préservation de l'adresse IP du client est activée sur la couche intermédiaire, ce champ peut afficher l'adresse IP du client préservée au lieu de l'adresse IP de la couche intermédiaire.

  • Certains enregistrements du journal de flux peuvent être ignorés pendant l'intervalle d'agrégation (voir log-status in). Champs disponibles Cela peut être dû à une contrainte de AWS capacité interne ou à une erreur interne. Si vous utilisez AWS Cost Explorer pour consulter les frais des journaux de VPC flux et que certains journaux de flux sont ignorés pendant l'intervalle d'agrégation des journaux de flux, le nombre de journaux de flux signalés AWS Cost Explorer sera supérieur au nombre de journaux de flux publiés par AmazonVPC.

  • Si vous utilisez VPCBlock Public Access (BPA) :

    • Les journaux de flux pour VPC BPA n'incluent pas les enregistrements ignorés.

    • Les journaux de flux pour VPC BPA ne pas inclure, bytesmême si vous incluez le bytes champ dans votre journal de flux.

Les journaux de flux ne capturent pas tout le trafic IP. Les types de trafic suivants ne sont pas consignés :

  • Le trafic généré par des instances lorsqu'elles contactent le DNS serveur Amazon. Si vous utilisez votre propre DNS serveur, tout le trafic vers ce dernier DNS est consigné.

  • Le trafic généré par une instance Windows pour l'activation de la licence Windows d'Amazon.

  • Le trafic depuis et vers 169.254.169.254 pour les métadonnées de l'instance.

  • Le trafic depuis et vers 169.254.169.123 pour Amazon Time Sync Service.

  • DHCPtrafic.

  • Le trafic reflétait le trafic source. Vous verrez le trafic reflété uniquement le trafic cible.

  • Le trafic vers l'adresse IP réservée pour le VPC routeur par défaut.

  • Trafic entre une interface réseau de point de terminaison et une interface réseau de Network Load Balancer.

  • Trafic du protocole de résolution d'adresses (ARP).

Limitations spécifiques aux ECS champs disponibles dans la version 7 :

  • Pour créer des abonnements aux journaux de flux avec ECS des champs, votre compte doit contenir au moins un ECS cluster.

  • ECSles champs ne sont pas calculés si les ECS tâches sous-jacentes n'appartiennent pas au propriétaire de l'abonnement au journal des flux. Par exemple, si vous partagez un sous-réseau (SubnetA) avec un autre compte (AccountB), puis que vous créez un abonnement aux journaux de flux pourSubnetA, si vous AccountB lancez des ECS tâches dans le sous-réseau partagé, votre abonnement recevra les journaux de trafic des ECS tâches lancées par, AccountB mais les ECS champs de ces journaux ne seront pas calculés pour des raisons de sécurité.

  • Si vous créez des abonnements aux journaux de flux avec des ECS champs au niveau des ressources VPC /Subnet, tout trafic généré pour les interfaces non ECS réseau sera également transmis pour vos abonnements. Les valeurs des ECS champs seront « - » pour le trafic non ECS IP. Par exemple, vous avez un sous-réseau (subnet-000000) et vous créez un abonnement au journal de flux pour ce sous-réseau avec des ECS champs ()fl-00000000. Danssubnet-000000, vous lancez une EC2 instance (i-0000000) connectée à Internet et générant activement du trafic IP. Vous lancez également une ECS tâche en cours d'exécution (ECS-Task-1) dans le même sous-réseau. Étant donné que i-0000000 ECS-Task-1 les deux entités génèrent du trafic IP, votre abonnement aux journaux de flux fl-00000000 fournira des journaux de trafic pour les deux entités. Cependant, seules les ECS métadonnées réelles ECS-Task-1 seront disponibles pour les ECS champs que vous avez inclus dans votrelogFormat. Pour le trafic i-0000000 associé, ces champs auront la valeur « - ».

  • ecs-container-idet ecs-second-container-id sont classés au fur et à mesure que le service VPC Flow Logs les reçoit du flux ECS d'événements. Il n'est pas garanti qu'ils soient dans le même ordre que celui dans lequel vous les voyez sur ECS la console ou lors de l' DescribeTask APIappel. Si un conteneur entre dans un STOPPED statut alors que la tâche est toujours en cours d'exécution, il peut continuer à apparaître dans votre journal.

  • Les ECS métadonnées et les journaux du trafic IP proviennent de deux sources différentes. Nous commençons à calculer votre ECS trafic dès que nous obtenons toutes les informations requises auprès des dépendances en amont. Une fois que vous avez démarré une nouvelle tâche, nous commençons à calculer vos ECS champs 1) lorsque nous recevons du trafic IP pour l'interface réseau sous-jacente et 2) lorsque nous recevons l'ECSévénement contenant les métadonnées de votre ECS tâche indiquant que la tâche est en cours d'exécution. Lorsque vous arrêtez une tâche, nous arrêtons de calculer vos ECS champs 1) lorsque nous ne recevons plus de trafic IP pour l'interface réseau sous-jacente ou lorsque nous recevons du trafic IP retardé de plus d'une journée et 2) lorsque nous recevons l'ECSévénement contenant les métadonnées de votre ECS tâche indiquant que celle-ci n'est plus en cours d'exécution.

  • Seules ECS les tâches lancées en mode awsvpc réseau sont prises en charge.