Batasan log alur

Anda tidak dapat mengaktifkan log alur untuk VPCs yang diintip dengan Anda VPC kecuali rekan VPC ada di akun Anda.

Setelah Anda membuat log aliran, Anda tidak dapat mengubah konfigurasinya atau format catatan log aliran. Misalnya, Anda tidak dapat mengaitkan IAM peran yang berbeda dengan log aliran, atau menambah atau menghapus bidang dalam catatan log aliran. Sebaliknya, Anda dapat menghapus log alur dan membuat yang baru dengan konfigurasi yang diperlukan.

Jika antarmuka jaringan Anda memiliki beberapa IPv4 alamat dan lalu lintas dikirim ke IPv4 alamat pribadi sekunder, log alur menampilkan IPv4 alamat pribadi utama di dstaddr bidang. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

Jika lalu lintas dikirim ke antarmuka jaringan dan tujuan bukan salah satu alamat IP antarmuka jaringan, log aliran menampilkan IPv4 alamat pribadi utama di dstaddr lapangan. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang pkt-dstaddr.

Jika lalu lintas dikirim dari antarmuka jaringan dan sumbernya bukan salah satu alamat IP antarmuka jaringan, log aliran menampilkan IPv4 alamat pribadi utama di srcaddr lapangan. Untuk menangkap alamat IP sumber asal, buat log alur dengan bidang pkt-srcaddr.

Jika lalu lintas dikirim ke atau dikirim dari antarmuka jaringan, srcaddr dan dstaddr bidang dalam log aliran selalu menampilkan IPv4 alamat pribadi utama, terlepas dari sumber paket atau tujuan. Untuk menangkap sumber paket atau tujuan, buat log alur dengan bidang pkt-srcaddr dan pkt-dstaddr.

Saat antarmuka jaringan Anda terpasang ke Instans berbasis Nitro, interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.

Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat log-status di). Bidang yang tersedia Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log VPC aliran dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon. VPC

Untuk pkt-srcaddr dan pkt-dstaddr bidang, jika lapisan perantara mengaktifkan Pelestarian alamat IP Klien, bidang ini dapat menampilkan IP Klien yang diawetkan, bukan alamat IP dari lapisan perantara.

Lalu lintas yang dihasilkan oleh contoh ketika mereka menghubungi DNS server Amazon. Jika Anda menggunakan DNS server Anda sendiri, maka semua lalu lintas ke DNS server itu dicatat.

Lalu lintas yang dihasilkan oleh instans Windows untuk aktivasi lisensi Amazon Windows.

Lalu lintas ke dan dari 169.254.169.254 untuk metadata instans.

Lalu lintas ke dan dari 169.254.169.123 untuk layanan Amazon Time Sync.

DHCPlalu lintas.

Lalu lintas mencerminkan lalu lintas sumber. Anda akan melihat lalu lintas target cermin lalu lintas saja.

Lalu lintas ke alamat IP yang dicadangkan untuk VPC router default.

Lalu lintas antara antarmuka jaringan titik akhir dan antarmuka jaringan Penyeimbang Beban Jaringan.

Protokol Resolusi Alamat (ARP) lalu lintas.

Untuk membuat langganan log alur dengan ECS bidang, akun Anda harus berisi setidaknya satu ECS klaster.

ECSbidang tidak dihitung jika ECS tugas yang mendasarinya tidak dimiliki oleh pemilik langganan log aliran. Misalnya, jika Anda berbagi subnet (SubnetA) dengan akun lain (AccountB), dan kemudian Anda membuat langganan log aliran untukSubnetA, jika AccountB meluncurkan ECS tugas di subnet bersama, langganan Anda akan menerima log lalu lintas dari ECS tugas yang diluncurkan oleh AccountB tetapi ECS bidang untuk log ini tidak akan dihitung karena masalah keamanan.

Jika Anda membuat langganan log alur dengan ECS bidang di tingkat sumber daya VPC /Subnet, lalu lintas apa pun yang dihasilkan untuk antarmuka ECS non-jaringan juga akan dikirimkan untuk langganan Anda. Nilai untuk ECS bidang akan menjadi '-' untuk lalu lintas ECS non-IP. Misalnya, Anda memiliki subnet (subnet-000000) dan Anda membuat langganan log aliran untuk subnet ini dengan ECS bidang ()fl-00000000. Disubnet-000000, Anda meluncurkan EC2 instance (i-0000000) yang terhubung ke internet dan secara aktif menghasilkan lalu lintas IP. Anda juga meluncurkan ECS tugas (ECS-Task-1) yang sedang berjalan di subnet yang sama. Karena ECS-Task-1 keduanya i-0000000 dan menghasilkan lalu lintas IP, langganan log aliran Anda fl-00000000 akan mengirimkan log lalu lintas untuk kedua entitas. Namun, hanya ECS-Task-1 akan memiliki ECS metadata aktual untuk bidang yang Anda sertakan dalam ECS bidang Anda. logFormat Untuk lalu lintas i-0000000 terkait, bidang ini akan memiliki nilai '-'.

ecs-container-iddan ecs-second-container-id dipesan saat layanan VPC Flow Logs menerimanya dari aliran ECS peristiwa. Mereka tidak dijamin berada dalam urutan yang sama seperti yang Anda lihat di ECS konsol atau dalam DescribeTask API panggilan. Jika kontainer memasukkan STOPPED status saat tugas masih berjalan, kontainer dapat terus muncul di log Anda.

ECSMetadata dan log lalu lintas IP berasal dari dua sumber yang berbeda. Kami mulai menghitung ECS lalu lintas Anda segera setelah kami memperoleh semua informasi yang diperlukan dari dependensi hulu. Setelah Anda memulai tugas baru, kami mulai menghitung ECS bidang Anda 1) ketika kami menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya dan 2) ketika kami menerima ECS acara yang berisi metadata untuk ECS tugas Anda untuk menunjukkan tugas sedang berjalan. Setelah Anda menghentikan tugas, kami berhenti menghitung ECS bidang Anda 1) ketika kami tidak lagi menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya atau kami menerima lalu lintas IP yang tertunda selama lebih dari satu hari dan 2) ketika kami menerima ECS acara yang berisi metadata untuk ECS tugas Anda untuk menunjukkan tugas Anda tidak lagi berjalan.

Hanya ECS tugas yang diluncurkan dalam mode awsvpc jaringan yang didukung.