Interval agregasi Format default Format kustom Bidang yang tersedia

Catatan log alur

Catatan log alur mewakili aliran jaringan di VPC Anda. Secara default, setiap catatan menangkap aliran lalu lintas jaringan internet protocol (IP) (ditandai dengan 5-tuple per antarmuka jaringan) yang terjadi dalam interval agregasi, juga disebut sebagai window pengambilan.

Setiap catatan adalah string dengan bidang yang dipisahkan oleh spasi. Sebuah catatan termasuk nilai-nilai untuk komponen yang berbeda dari aliran IP, misalnya, sumber, tujuan, dan protokol.

Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Anda dapat menentukan format kustom.

Interval agregasi

Interval agregasi adalah periode waktu di mana aliran tertentu ditangkap dan dikumpulkan ke dalam catatan log alur. Secara default, interval agregasi maksimum adalah 10 menit. Ketika Anda membuat log alur, Anda dapat menentukan interval agregasi maksimum 1 menit. Log alur dengan interval agregasi maksimum 1 menit menghasilkan volume catatan log alur yang lebih tinggi daripada log alur dengan interval agregasi maksimum 10 menit.

Ketika antarmuka jaringan terpasang ke instans berbasis Nitro, interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.

Setelah data ditangkap dalam interval agregasi, dibutuhkan waktu tambahan untuk memproses dan mempublikasikan data ke CloudWatch Log atau Amazon S3. Layanan flow log biasanya mengirimkan CloudWatch log ke Log dalam waktu sekitar 5 menit dan ke Amazon S3 dalam waktu sekitar 10 menit. Namun, pengiriman log dilakukan berdasarkan upaya terbaik, dan log Anda mungkin tertunda di luar waktu pengiriman khas.

Format default

Dengan format default, catatan log alur termasuk bidang versi 2, dalam urutan yang ditunjukkan dalam tabel bidang yang tersedia. Anda tidak dapat menyesuaikan atau mengubah format default. Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagai gantinya.

Format kustom

Dengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya. Hal ini mengizinkan Anda untuk membuat log alur yang kustom untuk kebutuhan Anda dan untuk menghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhan untuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapat menentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satu bidang log alur.

Bidang yang tersedia

Tabel berikut menjelaskan semua bidang yang tersedia untuk catatan log alur. Kolom Versi menunjukkan versi Log Alur VPC di mana bidang diperkenalkan. Format default mencakup 2 bidang semua versi, dalam urutan yang sama sebagaimana yang tercantum di tabel.

Saat memublikasikan data log alur ke Amazon S3, tipe data untuk bidang bergantung pada format log alur. Jika formatnya adalah teks biasa, semua bidang bertipe STRING. Jika formatnya Parket, lihat tabel untuk tipe data bidang.

Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkan simbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakan perkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.

Bidang	Deskripsi	Versi
version	Versi Log Alur VPC. Jika Anda menggunakan format default, versinya adalah 2. Jika Anda menggunakan format kustom, versinya adalah versi tertinggi di antara bidang yang ditentukan. Misalnya, jika Anda menentukan hanya bidang dari versi 2, maka versinya adalah 2. Jika Anda menentukan campuran bidang dari versi 2, 3, dan 4, maka versinya adalah 4. Tipe data parket: INT_32	2
account-id	ID AWS akun pemilik antarmuka jaringan sumber yang lalu lintas dicatat. Jika antarmuka jaringan dibuat oleh AWS layanan, misalnya saat membuat titik akhir VPC atau Network Load Balancer, rekaman mungkin akan ditampilkan unknown untuk bidang ini. Jenis data parket: STRING	2
interface-id	ID antarmuka jaringan yang lalu lintasnya dicatat. Jenis data parket: STRING	2
srcaddr	Untuk lalu lintas masuk, ini adalah alamat IP dari sumber lalu lintas. Untuk lalu lintas keluar, ini adalah IPv4 alamat pribadi atau IPv6 alamat antarmuka jaringan yang mengirimkan lalu lintas. Lihat juga pkt-srcaddr. Jenis data parket: STRING	2
dstaddr	Alamat tujuan untuk lalu lintas keluar, IPv4 atau IPv6 alamat antarmuka jaringan untuk lalu lintas masuk pada antarmuka jaringan. IPv4 Alamat antarmuka jaringan selalu IPv4 alamat pribadinya. Lihat juga pkt-dstaddr. Jenis data parket: STRING	2
srcport	Port sumber lalu lintas. Tipe data parket: INT_32	2
dstport	Port tujuan lalu lintas. Tipe data parket: INT_32	2
protocol	Nomor protokol IANA lalu lintas. Untuk informasi selengkapnya, lihat Nomor Protokol Internet yang Ditugaskan. Tipe data parket: INT_32	2
packets	Jumlah paket yang ditransfer selama aliran. Tipe data parket: INT_64	2
bytes	Jumlah byte yang ditransfer selama aliran. Tipe data parket: INT_64	2
start	Waktu, dalam detik Unix, ketika paket pertama aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan. Tipe data parket: INT_64	2
end	Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan. Tipe data parket: INT_64	2
action	Tindakan yang terkait dengan lalu lintas: ACCEPT Lalu lintas diterima. REJECT Lalu lintas ditolak. Misalnya, lalu lintas tidak diizinkan oleh kelompok keamanan atau jaringan ACLs, atau paket tiba setelah koneksi ditutup. Jenis data parket: STRING	2
log-status	Status pencatatan log alur: OK — Data masuk secara normal ke tujuan yang dipilih. NODATA — Tidak ada lalu lintas jaringan ke atau dari antarmuka jaringan selama interval agregasi. SKIPDATA — Beberapa catatan log aliran dilewati selama interval agregasi. Ini mungkin karena kendala kapasitas internal, atau kesalahan internal. Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat log-status di). Bidang yang tersedia Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log aliran VPC dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon VPC. Jenis data parket: STRING	2
vpc-id	ID VPC yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jenis data parket: STRING	3
subnet-id	ID subnet yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jenis data parket: STRING	3
instance-id	ID instans yang terkait dengan antarmuka jaringan yang lalu lintasnya dicatat, jika instans dimiliki oleh Anda. Mengembalikan simbol '-' untuk Antarmuka jaringan yang dikelola peminta; sebagai contoh, antaramuka untuk NAT gateway. Jenis data parket: STRING	3
tcp-flags	Nilai bitmask untuk bendera TCP berikut: FIN — 1 SYN — 2 RST — 4 SYN-ACK — 18 Jika tidak ada flag yang didukung direkam, nilai flag TCP adalah 0. Misalnya, karena tcp-flags tidak mendukung pencatatan bendera ACK atau PSH, catatan untuk lalu lintas dengan flag yang tidak didukung ini akan menghasilkan nilai tcp-flags 0. Namun, jika bendera yang tidak didukung disertai dengan bendera yang didukung, kami akan melaporkan nilai bendera yang didukung. Misalnya, jika ACK adalah bagian dari SYN-ACK, ia melaporkan 18. Dan jika ada catatan seperti SYN+ECE, karena SYN adalah bendera yang didukung dan ECE tidak, nilai bendera TCP adalah 2. Jika karena alasan tertentu kombinasi bendera tidak valid dan nilainya tidak dapat dihitung, nilainya adalah '-'. Jika tidak ada bendera yang dikirim, nilai bendera TCP adalah 0. Bendera TCP dapat OR-ed selama interval agregasi. Untuk koneksi pendek, bendera mungkin diatur pada baris yang sama dalam catatan log alur, misalnya, 19 untuk SYN-ACK dan FIN, dan 3 untuk SYN dan FIN. Sebagai contoh, lihat Urutan bendera TCP. Untuk informasi umum tentang bendera TCP (seperti arti bendera seperti FIN, SYN, dan ACK), lihat Struktur segmen TCP di Wikipedia. Tipe data parket: INT_32	3
type	Jenis lalu lintas. Nilai yang mungkin adalah: IPv4 \| IPv6 \| EFA. Untuk informasi lebih lanjut, lihat Adaptor Kain Elastis. Jenis data parket: STRING	3
pkt-srcaddr	Alamat IP sumber tingkat paket (asli) lalu lintas. Gunakan bidang ini dengan srcaddr bidang untuk membedakan antara alamat IP dari lapisan perantara melalui mana lalu lintas mengalir, dan alamat IP sumber asli dari lalu lintas. Misalnya, saat lalu lintas mengalir melalui antarmuka jaringan NAT gateway, atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam VPC). Jenis data parket: STRING	3
pkt-dstaddr	Alamat IP tujuan tingkat paket (asli) untuk lalu lintas. Gunakan bidang ini dengan dstaddr bidang untuk membedakan antara alamat IP dari lapisan perantara yang melaluinya arus lalu lintas, dan alamat IP tujuan akhir dari lalu lintas. Misalnya, saat lalu lintas mengalir melalui antarmuka jaringan NAT gateway, atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam VPC). Jenis data parket: STRING	3
region	Wilayah yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jenis data parket: STRING	4
az-id	ID dari Availability Zone yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas berasal dari sublokasi, catatan akan menampilkan simbol '-' untuk bidang ini. Jenis data parket: STRING	4
sublocation-type	Jenis sublokasi yang dikembalikan di sublocation-id lapangan. Nilai yang mungkin adalah: wavelength \| outpost \| localzone. Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini. Jenis data parket: STRING	4
sublocation-id	ID sublokasi yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini. Jenis data parket: STRING	4
pkt-src-aws-service	Nama subset rentang alamat IP untuk pkt-srcaddr field, jika alamat IP sumber adalah untuk suatu AWS layanan. Jika pkt-srcaddr milik rentang tumpang tindih, hanya pkt-src-aws-service akan menampilkan salah satu kode layanan. AWS Nilai yang mungkin adalah: AMAZON \| AMAZON_APPFLOW \| AMAZON_CONNECT \| API_GATEWAY \| CHIME_MEETINGS \| CHIME_VOICECONNECTOR \| CLOUD9 \| CLOUDFRONT \| CODEBUILD \| DYNAMODB \| EBS \| EC2 \| EC2_INSTANCE_CONNECT \| GLOBALACCELERATOR \| KINESIS_VIDEO_STREAMS \| ROUTE53 \| ROUTE53_HEALTHCHECKS \| ROUTE53_HEALTHCHECKS_PUBLISHING \| ROUTE53_RESOLVER \| S3 \| WORKSPACES_GATEWAYS. Jenis data parket: STRING	5
pkt-dst-aws-service	Nama subset dari rentang alamat IP untuk pkt-dstaddr bidang, jika alamat IP tujuan adalah untuk AWS layanan. Untuk daftar nilai yang mungkin, lihat pkt-src-aws-service lapangan. Jenis data parket: STRING	5
flow-direction	Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap. Nilai yang mungkin adalah: ingress \| egress. Jenis data parket: STRING	5
traffic-path	Jalan yang dilalui lalu lintas egress untuk ke tujuan. Untuk menentukan apakah lalu lintas adalah lalu lintas jalan keluar, periksa flow-direction lapangan. Kemungkinan nilainya adalah sebagai berikut. Jika tidak ada nilai yang berlaku, bidang diatur ke -. 1 — Melalui sumber daya lain di VPC yang sama, termasuk sumber daya yang membuat antarmuka jaringan di VPC 2 — Melalui gateway internet atau gateway VPC endpoint 3 — Melalui virtual private gateway 4 — Melalui koneksi peering VPC dalam wilayah 5 — Melalui koneksi peering VPC antar wilayah 6 — Melalui gateway lokal 7 — Melalui VPC endpoint gateway (instans berbasis Nitro saja) 8 — Melalui gateway internet (instans berbasis Nitro saja) Tipe data parket: INT_32	5
ecs-cluster-arn	AWS Nama Sumber Daya (ARN) dari cluster ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING	7
ecs-cluster-name	Nama cluster ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING	7
ecs-container-instance-arn	ARN dari instance kontainer ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan pada sebuah instance. EC2 Jika penyedia kapasitas AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances Jenis data parket: STRING	7
ecs-container-instance-id	ID instance kontainer ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan pada sebuah EC2 instance. Jika penyedia kapasitas AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances Jenis data parket: STRING	7
ecs-container-id	ID runtime Docker kontainer jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Jika ada satu atau lebih kontainer dalam tugas ECS, ini akan menjadi ID runtime docker dari kontainer pertama. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING	7
ecs-second-container-id	ID runtime Docker kontainer jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Jika ada lebih dari satu kontainer dalam tugas ECS, ini akan menjadi ID runtime Docker dari kontainer kedua. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING	7
ecs-service-name	Nama layanan ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan dan tugas ECS dimulai oleh layanan ECS. Jika tugas ECS tidak dimulai oleh layanan ECS, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListServices Jenis data parket: STRING	7
ecs-task-definition-arn	ARN dari definisi tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk memanggil ecs: ListClusters dan ecs: ListTaskDefinitions Jenis data parket: STRING	7
ecs-task-arn	ARN dari tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks Jenis data parket: STRING	7
ecs-task-id	ID tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks Jenis data parket: STRING	7
tolak-alasan	Alasan Mengapa Lalu Lintas Ditolak Nilai yang mungkin: BPA. Mengembalikan '-' untuk alasan penolakan lainnya. Untuk informasi selengkapnya tentang VPC Block Public Access (BPA), lihat. Memblokir akses publik ke VPCs dan subnet Jenis data parket: STRING	8

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Dasar-dasar log alur

Contoh catatan log alur