Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Transit Gateway Flow Logs è una funzionalità di Amazon VPC Transit Gateways che consente di acquisire informazioni sul traffico IP in entrata e in uscita dai gateway di transito. I dati dei log di flusso possono essere pubblicati su Amazon CloudWatch Logs, Amazon S3 o Firehose. Dopo aver creato un log di flusso, puoi recuperare e visualizzarne i dati nella destinazione scelta. I dati di log del flusso vengono raccolti al di fuori del percorso del traffico di rete e pertanto non influiscono sulla velocità effettiva o sulla latenza della rete. È possibile creare o eliminare i log di flusso senza alcun rischio di impatto sulle prestazioni della rete. I registri di flusso del gateway di transito acquisiscono informazioni relative solo ai gateway di transito, descritti in Log di flusso del gateway di transito. Se desideri acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete del tuo computer VPCs, utilizza VPC Flow Logs. Per ulteriori informazioni consulta Logging IP traffic using VPC Flow Logs (Registrazione del traffico IP utilizzando i registri di flusso VPC) nella Guida per l'utente di Amazon VPC.
Nota
Per creare un log di flusso del gateway di transito, devi essere il proprietario del gateway di transito. Se non sei il proprietario, il proprietario del gateway di transito deve darti l'autorizzazione.
I dati del log di flusso per un gateway di transito monitorato vengono registrati come record del log di flusso, ossia eventi di log costituiti da campi che descrivono il flusso di traffico. Per ulteriori informazioni, consulta Log di flusso del gateway di transito.
Per creare un log di flusso, occorre specificare:
-
La risorsa per cui creare il log di flusso
-
Le destinazioni in cui pubblicare i dati del log di flusso
Dopo aver creato un flusso di log, potrebbero essere necessari diversi minuti prima di iniziare a raccogliere dati e pubblicarli nelle destinazioni scelte. I registri di flusso non acquisiscono flussi di log in tempo reale per i gateway di transito.
È possibile applicare tag ai log di flusso. Ogni tag è composto da una chiave e da un valore opzionale, entrambi personalizzabili. I tag consentono di organizzare i log di flusso, ad esempio per scopo o proprietario.
Se un log di flusso non è più necessario, puoi eliminarlo. L'eliminazione di un log di flusso disattiva il servizio di log di flusso per la risorsa e nessun nuovo record del log di flusso viene creato o pubblicato su CloudWatch Logs o Amazon S3. L'eliminazione del log di flusso non elimina alcun record o flusso di log di flusso esistente (per CloudWatch Logs) o oggetti di file di log (per Amazon S3) per un gateway di transito. Per eliminare un flusso di log esistente, usa la console Logs. CloudWatch Per eliminare oggetti file di log esistenti, utilizza la console Amazon S3. Dopo aver eliminato un log di flusso, potrebbero essere necessari diversi minuti per interrompere la raccolta dati. Per ulteriori informazioni, consulta Eliminare un record di log di flusso di Amazon VPC Transit Gateways.
Puoi creare log di flusso per i tuoi gateway di transito in grado di pubblicare dati su CloudWatch Logs, Amazon S3 o Amazon Data Firehose. Per ulteriori informazioni, consulta gli argomenti seguenti:
Limitazioni
Le seguenti limitazioni si applicano ai Transit Gateway Flow Logs:
-
Il traffico multicast non è supportato.
-
Gli allegati Connect non sono supportati. Tutti i log di flusso di Connect vengono visualizzati sotto l'allegato di trasporto e devono pertanto essere abilitati sul gateway di transito o sull'allegato di trasporto Connect.
Log di flusso del gateway di transito
Un record del log di flusso rappresenta un flusso di rete nel gateway di transito. Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso di traffico tra cui, ad esempio, origine, destinazione e protocollo.
Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.
Formato predefinito
Con il formato predefinito, i record del log di flusso includono tutti i campi dalla versione 2 alla versione 6, nell'ordine mostrato nella tabella dei campi disponibili. Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.
Formato personalizzato
Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. Ciò permette di creare registri di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L'uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.
Campi disponibili
Nella tabella seguente sono descritti tutti i campi disponibili per un record del log di flusso di un gateway di transito. La colonna Version (Versione) indica la versione in cui è stato introdotto il campo.
Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è testo semplice, tutti i campi sono di tipo STRING. Se il formato è Parquet, consulta la tabella per i tipi di dati dei campi.
Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall'intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.
| Campo | Descrizione | Versione |
|---|---|---|
|
version |
Indica la versione in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella. Tipo di dati Parquet: INT_32 |
2 |
| resource-type | Il tipo di risorsa su cui viene creata la sottoscrizione. Per i Transit Gateway Flow Logs, questo sarà TransitGateway. Tipo di dati Parquet: STRING |
6 |
| account-id |
L' Account AWS ID del proprietario del gateway di transito di origine. Tipo di dati Parquet: STRING |
2 |
|
tgw-id |
L'ID del gateway di transito per il quale viene registrato il traffico. Tipo di dati Parquet: STRING |
6 |
|
tgw-attachment-id |
L'ID del collegamento del gateway di transito alla VPN per il quale viene registrato il traffico. Tipo di dati Parquet: STRING |
6 |
|
tgw-src-vpc-account-id |
L' Account AWS ID per il traffico VPC di origine. Tipo di dati Parquet: STRING |
6 |
|
tgw-dst-vpc-account-id |
L' Account AWS ID per il traffico VPC di destinazione. Tipo di dati Parquet: STRING |
6 |
|
tgw-src-vpc-id |
L'ID del VPC di origine per il gateway di transito Tipo di dati Parquet: STRING |
6 |
|
tgw-dst-vpc-id |
L'ID del VPC di destinazione per il gateway di transito. Tipo di dati Parquet: STRING |
6 |
|
tgw-src-subnet-id |
L'ID della sottorete per il traffico di origine del gateway di transito. Tipo di dati Parquet: STRING |
6 |
|
tgw-dst-subnet-id |
L'ID della sottorete per il traffico di destinazione del gateway di transito. Tipo di dati Parquet: STRING |
6 |
| tgw-src-eni |
L'ID dell'ENI del collegamento del gateway di transito alla VPN di origine per il flusso. Tipo di dati Parquet: STRING |
6 |
| tgw-dst-eni | L'ID dell'ENI del collegamento del gateway di transito alla VPN di destinazione per il flusso. Tipo di dati Parquet: STRING |
6 |
|
tgw-src-az-id |
L'ID della zona di disponibilità che contiene il gateway di transito di origine per cui viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo. Tipo di dati Parquet: STRING |
6 |
|
tgw-dst-az-id |
L'ID della zona di disponibilità che contiene il gateway di transito di destinazione per cui viene registrato il traffico. Tipo di dati Parquet: STRING |
6 |
| tgw-pair-attachment-id |
A seconda della direzione del flusso, questo è l'ID allegato in uscita o in ingresso del flusso. Tipo di dati Parquet: STRING |
6 |
|
srcaddr |
L'indirizzo di origine per traffico in entrata. Tipo di dati Parquet: STRING |
2 |
|
dstaddr |
L'indirizzo di destinazione per il traffico in uscita. Tipo di dati Parquet: STRING |
2 |
|
srcport |
La porta di origine del traffico. Tipo di dati parquet: INT_32 |
2 |
|
dstport |
La porta di destinazione del traffico. Tipo di dati Parquet: INT_32 |
2 |
|
protocol |
Il numero di protocollo IANA del traffico. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo Internet assegnati Tipo di dati Parquet: INT_32 |
2 |
|
packets |
Il numero di pacchetti trasferiti durante il flusso. Tipo di dati parquet: INT_64 |
2 |
|
bytes |
Il numero di byte trasferiti durante il flusso. Tipo di dati Parquet: INT_64 |
2 |
|
start |
L'ora, in secondi Unix, di ricezione del primo pacchetto del flusso all'interno dell'intervallo di aggregazione. Potrebbe durare fino a 60 secondi oltre l'avvenuta trasmissione o ricezione del pacchetto da parte del gateway di transito. Tipo di dati Parquet: INT_64 |
2 |
|
end |
L'ora, in secondi Unix, in cui l'ultimo pacchetto del flusso è stato ricevuto entro l'intervallo di aggregazione. Potrebbe durare fino a 60 secondi oltre l'avvenuta trasmissione o ricezione del pacchetto da parte del gateway di transito. Tipo di dati Parquet: INT_64 |
2 |
| log-status |
Lo stato del log di flusso:
Tipo di dati Parquet: STRING |
2 |
| type |
Il tipo di traffico. I valori possibili sono IPv4 | IPv6 | EFA. Per ulteriori informazioni, consulta Elastic Fabric Adapter nella Amazon EC2 User Guide. Tipo di dati parquet: STRING |
3 |
|
packets-lost-no-route |
I pacchetti sono andati persi perché non è stata specificata alcuna route. Tipo di dati Parquet: INT_64 |
6 |
|
packets-lost-blackhole |
I pacchetti sono andati persi a causa di un buco nero. Tipo di dati Parquet: INT_64 |
6 |
|
packets-lost-mtu-exceeded |
I pacchetti sono andati persi a causa delle dimensioni che superano la MTU. Tipo di dati Parquet: INT_64 |
6 |
|
packets-lost-ttl-expired |
I pacchetti persi a causa della scadenza di time-to-live. Tipo di dati Parquet: INT_64 |
6 |
|
tcp-flags |
Il valore bitmask per i seguenti flag TCP:
ImportanteQuando una voce del log di flusso è composta solo da pacchetti ACK, il valore del flag è 0, non 16. Per informazioni generali sui flag TCP (come il significato di flag come FIN, SYN e ACK), consulta Struttura del segmento TCP I flag TCP sono introdotti da un operatore OR durante l'intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN-ACK e FIN e 3 per SYN e FIN. Tipo di dati parquet: INT_32 |
3 |
|
region |
La Regione che contiene il gateway di transito in cui viene registrato il traffico. Tipo di dati parquet: STRING |
4 |
|
flow-direction |
La direzione del flusso rispetto all'interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress | egress. Tipo di dati parquet: STRING |
5 |
|
pkt-src-aws-service |
Il nome del sottoinsieme di intervalli di indirizzi IP per il campo srcaddr se l'indirizzo IP di origine è per un AWS servizio. I valori possibili sono: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS. Tipo di dati parquet: STRING |
5 |
| pkt-dst-aws-service | Il nome del sottoinsieme di intervalli di indirizzi IP per il campo dstaddr campo, se l'indirizzo IP di destinazione è per un AWS servizio. Per un elenco di possibili valori, consulta il campo pkt-src-aws-service . Tipo di dati parquet: STRING |
5 |
Controllo dell'utilizzo dei log di flusso
Per impostazione predefinita, gli utenti non dispongono dell'autorizzazione per utilizzare log di flusso. Puoi creare una policy dell'utente che concede agli utenti le autorizzazioni per creare, descrivere ed eliminare log di flusso. Per ulteriori informazioni, consulta Concessione delle autorizzazioni richieste agli utenti IAM per le EC2 risorse Amazon nell'Amazon EC2 API Reference.
Di seguito è riportata una policy di esempio che concede agli utenti autorizzazioni complete per creare, descrivere ed eliminare log di flusso.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}È necessaria una configurazione aggiuntiva dei ruoli e delle autorizzazioni IAM, a seconda che tu stia pubblicando su CloudWatch Logs o Amazon S3. Per ulteriori informazioni, consulta Transit Gateway Flow registra i record in Amazon CloudWatch Logs e Transit Gateway Flow Registra i record in Amazon S3 .
Prezzi dei log di flusso di Transit Gateway
Gli addebiti per l'importazione dei dati e l'archiviazione per i log distribuiti vengono applicati quando si pubblicano i log di flusso del gateway di transito. Per ulteriori informazioni sui prezzi per la pubblicazione dei log venduti, apri Amazon CloudWatch Pricing
