Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Un record di log di flusso rappresenta un flusso di rete nel tuoVPC. Per impostazione predefinita, ogni record acquisisce un flusso di traffico IP (Network Internet Protocol) (caratterizzato da 5 tuple in base all'interfaccia di rete) che si verifica all'interno di un intervallo di aggregazione, denominato anche finestra di acquisizione.
Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.
Intervallo di aggregazione
L'intervallo di aggregazione è il periodo di tempo durante il quale un particolare flusso viene acquisito e aggregato in un record di log di flusso. Per impostazione predefinita, l'intervallo di aggregazione massimo è di 10 minuti. Quando crei un log di flusso, puoi specificare facoltativamente un intervallo di aggregazione massimo di 1 minuto. I log di flusso con un intervallo di aggregazione massimo di 1 minuto producono un volume maggiore di record del log di flusso rispetto ai log di flusso con un intervallo di aggregazione massimo di 10 minuti.
Quando un'interfaccia di rete viene collegata a un'istanza basata su Nitro, l'intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall'intervallo di aggregazione massimo specificato.
Dopo che i dati vengono acquisiti all'interno di un intervallo di aggregazione, è necessario più tempo per elaborare e pubblicare i dati in CloudWatch Logs o Amazon S3. Il servizio di log di flusso di solito fornisce i CloudWatch log a Logs in circa 5 minuti e ad Amazon S3 in circa 10 minuti. Tuttavia, la consegna dei log avviene nel miglior modo possibile e i registri potrebbero essere ritardati oltre i tempi di consegna tipici.
Formato predefinito
Con il formato predefinito, i record del log di flusso includono i campi versione 2, nell'ordine mostrato nella tabella campi disponibili . Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.
Formato personalizzato
Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. In questo modo è possibile creare log di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L'uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.
Campi disponibili
Nella tabella seguente sono descritti tutti i campi disponibili per un record di log di flusso di . La colonna Versione indica la versione dei log di VPC flusso in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella.
Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è di testo normale, tutti i campi sono di tipo STRING. Se il formato è Parquet, vedere la tabella per i tipi di dati di campo.
Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall'intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.
Campo | Descrizione | Versione |
---|---|---|
version |
La versione dei log VPC di flusso del log di flusso. Se usi il formato predefinito, la versione è 2. Se usi un formato personalizzato, la versione è quella più alta tra i campi specificati. Ad esempio, se specifichi solo i campi della versione 2, la versione sarà 2. Se specifichi una combinazione di campi dalle versioni 2, 3 e 4, la versione sarà 4. Tipo di dati Parquet: _32 INT |
2 |
account-id |
L'ID AWS account del proprietario dell'interfaccia di rete di origine per la quale viene registrato il traffico. Se l'interfaccia di rete viene creata da un AWS servizio, ad esempio durante la creazione di un VPC endpoint o di Network Load Balancer, per questo campo il record potrebbe visualizzare unknown per questo campo. Tipo di dati Parquet: STRING |
2 |
interface-id |
L'ID dell'interfaccia di rete per la quale il traffico viene registrato. Tipo di dati sul parquet: STRING |
2 |
srcaddr |
L'indirizzo di origine per il traffico in entrata oppure l'IPv6indirizzo IPv4 o dell'interfaccia rete per il traffico in uscita sull'interfaccia di rete. L'IPv4indirizzo dell'interfaccia di rete è sempre il suo IPv4 indirizzo privato. Consulta anche pkt-srcaddr. Tipo di dati Parquet: STRING |
2 |
dstaddr |
L'indirizzo di destinazione per il traffico in uscita oppure l'IPv6indirizzo IPv4 o dell'interfaccia rete per il traffico in entrata sull'interfaccia di rete. L'IPv4indirizzo dell'interfaccia di rete è sempre il suo IPv4 indirizzo privato. Consulta anche pkt-dstaddr. Tipo di dati Parquet: STRING |
2 |
srcport |
La porta di origine del traffico. Tipo di dati del parquet: INT _32 |
2 |
dstport |
La porta di destinazione del traffico. Tipo di dati del parquet: _32 INT |
2 |
protocol |
Il numero di IANA protocollo del traffico. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo Internet assegnati Tipo di dati Parquet: INT _32 |
2 |
packets |
Il numero di pacchetti trasferiti durante il flusso. Tipo di dati del parquet: _64 INT |
2 |
bytes |
Il numero di byte trasferiti durante il flusso. Tipo di dati del parquet: _64 INT |
2 |
start |
L'ora, in secondi Unix, di ricezione del primo pacchetto del flusso all'interno dell'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete. Tipo di dati del parquet: _64 INT |
2 |
end |
L'ora, in secondi Unix, in cui l'ultimo pacchetto del flusso è stato ricevuto entro l'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete. Tipo di dati del parquet: _64 INT |
2 |
action |
L'operazione associata al traffico:
Tipo di dati Parquet: STRING |
2 |
log-status |
Lo stato di registrazione del log di flusso:
Tipo di dati Parquet: STRING |
2 |
vpc-id |
L'ID del VPC che contiene l'interfaccia di rete per la quale il traffico viene registrato. Tipo di dati Parquet: STRING |
3 |
subnet-id |
L'ID della subnet che contiene l'interfaccia di rete per cui viene registrato il traffico. Tipo di dati sul parquet: STRING |
3 |
instance-id |
L'ID dell'istanza associata all'interfaccia di rete per cui viene registrato il traffico, se l'istanza appartiene a te. Restituisce un simbolo '-' per un'interfaccia di rete gestita dal richiedente, ad esempio l'interfaccia di rete per un NAT gateway. Tipo di dati Parquet: STRING |
3 |
tcp-flags |
Il valore bitmask per i seguenti TCP flag:
TCPi flag possono essere introdotti da un operatore OR durante l'intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN - ACK e FIN 3 per SYN andFIN. Per vedere un esempio, consulta TCPsequenza di flag. Per informazioni generali sui TCP flag (come il significato di flag comeFIN, eACK)SYN, consulta Struttura del TCP segmento Tipo di dati Parquet: _32 INT |
3 |
type |
Il tipo di traffico. I valori possibili sono: IPv4 | IPv6 | EFA. Per ulteriori informazioni, consulta Elastic Fabric Adapter (EFA). Tipo di dati del parquet: STRING |
3 |
pkt-srcaddr |
L'indirizzo IP di origine a livello di pacchetto (originale) del traffico. Utilizzare questo campo con il campo srcaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di origine originale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un NAT gateway o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di unVPC). Tipo di dati Parquet: STRING |
3 |
pkt-dstaddr |
L'indirizzo IP di destinazione a livello di pacchetto (originale) per il traffico. Utilizzare questo campo con il campo dstaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di destinazione finale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un NAT gateway o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di unVPC). Tipo di dati Parquet: STRING |
3 |
region |
Regione che contiene l'interfaccia di rete per la quale viene registrato il traffico. Tipo di dati sul parquet: STRING |
4 |
az-id |
ID della zona di disponibilità che contiene l'interfaccia di rete per la quale viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo. Tipo di dati sul parquet: STRING |
4 |
sublocation-type |
Il tipo di posizione secondaria restituito nel campo sublocation-id . I valori possibili sono: wavelength Tipo di dati sul parquet: STRING |
4 |
sublocation-id |
L'ID della sottorete che contiene l'interfaccia di rete per cui viene registrato il traffico. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo. Tipo di dati sul parquet: STRING |
4 |
pkt-src-aws-service |
Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-srcaddr se l'indirizzo IP di origine è per un AWS servizio. Se pkt-srcaddr appartiene a un intervallo sovrapposto, pkt-src-aws-service mostrerà solo uno dei codici di servizio. AWS I valori possibili sono: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS. Tipo di dati Parquet: STRING |
5 |
pkt-dst-aws-service |
Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-dstaddr se l'indirizzo IP di destinazione è per un AWS servizio. Per un elenco di possibili valori, consulta il campo pkt-src-aws-service . Tipo di dati Parquet: STRING |
5 |
flow-direction |
La direzione del flusso rispetto all'interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress | egress. Tipo di dati sul parquet: STRING |
5 |
traffic-path |
Il percorso che porta il traffico in uscita verso la destinazione. Per determinare se il traffico è in uscita, controlla il campo flow-direction . I valori possibili sono quelli riportati di seguito. Se nessuno dei valori viene applicato, il campo è impostato su -.
Tipo di dati Parquet: _32 INT |
5 |
ecs-cluster-arn |
AWS Nome della risorsa (ARN) del ECS cluster se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters. Tipo di dati Parquet: STRING |
7 |
ecs-cluster-name |
Nome del ECS cluster se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters. Tipo di dati Parquet: STRING |
7 |
ecs-container-instance-arn |
ARNdell'istanza del ECS contenitore se il traffico proviene da un'ECSattività in esecuzione su un'EC2istanza. Se il fornitore di capacità è AWS Fargate, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListContainerInstances Tipo di dati Parquet: STRING |
7 |
ecs-container-instance-id |
ID dell'istanza del ECS contenitore se il traffico proviene da un'ECSattività in esecuzione su un'EC2istanza. Se il fornitore di capacità è AWS Fargate, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListContainerInstances Tipo di dati Parquet: STRING |
7 |
ecs-container-id |
ID di runtime Docker del contenitore se il traffico proviene da un'ECSattività in esecuzione. Se nell'ECSattività sono presenti uno o più contenitori, questo sarà l'ID di runtime docker del primo contenitore. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters. Tipo di dati Parquet: STRING |
7 |
ecs-second-container-id |
ID di runtime Docker del contenitore se il traffico proviene da un'ECSattività in esecuzione. Se nell'ECSattività sono presenti più contenitori, questo sarà l'ID di runtime Docker del secondo contenitore. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters. Tipo di dati Parquet: STRING |
7 |
ecs-service-name |
Nome del ECS servizio se il traffico proviene da un'ECSattività in esecuzione e l'ECSattività viene avviata da un ECS servizio. Se l'ECSattività non viene avviata da un ECS servizio, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListServices Tipo di dati Parquet: STRING |
7 |
ecs-task-definition-arn |
ARNdella definizione dell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs: ListTaskDefinitions Tipo di dati Parquet: STRING |
7 |
ecs-task-arn |
ARNdell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListTasks Tipo di dati Parquet: STRING |
7 |
ecs-task-id |
ID dell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListTasks Tipo di dati Parquet: STRING |
7 |
Motivo del rifiuto |
Motivo per cui il traffico è stato respinto. Valori possibiliBPA. Restituisce un '-' per qualsiasi altro motivo di rifiuto. Per ulteriori informazioni su VPC Block Public Access (BPA), vedereBlocco dell'accesso pubblico a sottoreti VPCs e sottoreti. Tipo di dati Parquet: STRING |
8 |