Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Record di log di flusso

Modalità Focus
Record di log di flusso - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Un record di log di flusso rappresenta un flusso di rete nel tuoVPC. Per impostazione predefinita, ogni record acquisisce un flusso di traffico IP (Network Internet Protocol) (caratterizzato da 5 tuple in base all'interfaccia di rete) che si verifica all'interno di un intervallo di aggregazione, denominato anche finestra di acquisizione.

Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.

Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.

Intervallo di aggregazione

L'intervallo di aggregazione è il periodo di tempo durante il quale un particolare flusso viene acquisito e aggregato in un record di log di flusso. Per impostazione predefinita, l'intervallo di aggregazione massimo è di 10 minuti. Quando crei un log di flusso, puoi specificare facoltativamente un intervallo di aggregazione massimo di 1 minuto. I log di flusso con un intervallo di aggregazione massimo di 1 minuto producono un volume maggiore di record del log di flusso rispetto ai log di flusso con un intervallo di aggregazione massimo di 10 minuti.

Quando un'interfaccia di rete viene collegata a un'istanza basata su Nitro, l'intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall'intervallo di aggregazione massimo specificato.

Dopo che i dati vengono acquisiti all'interno di un intervallo di aggregazione, è necessario più tempo per elaborare e pubblicare i dati in CloudWatch Logs o Amazon S3. Il servizio di log di flusso di solito fornisce i CloudWatch log a Logs in circa 5 minuti e ad Amazon S3 in circa 10 minuti. Tuttavia, la consegna dei log avviene nel miglior modo possibile e i registri potrebbero essere ritardati oltre i tempi di consegna tipici.

Formato predefinito

Con il formato predefinito, i record del log di flusso includono i campi versione 2, nell'ordine mostrato nella tabella campi disponibili . Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.

Formato personalizzato

Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. In questo modo è possibile creare log di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L'uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.

Campi disponibili

Nella tabella seguente sono descritti tutti i campi disponibili per un record di log di flusso di . La colonna Versione indica la versione dei log di VPC flusso in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella.

Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è di testo normale, tutti i campi sono di tipo STRING. Se il formato è Parquet, vedere la tabella per i tipi di dati di campo.

Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall'intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.

Campo Descrizione Versione

version

La versione dei log VPC di flusso del log di flusso. Se usi il formato predefinito, la versione è 2. Se usi un formato personalizzato, la versione è quella più alta tra i campi specificati. Ad esempio, se specifichi solo i campi della versione 2, la versione sarà 2. Se specifichi una combinazione di campi dalle versioni 2, 3 e 4, la versione sarà 4.

Tipo di dati Parquet: _32 INT

2

account-id

L'ID AWS account del proprietario dell'interfaccia di rete di origine per la quale viene registrato il traffico. Se l'interfaccia di rete viene creata da un AWS servizio, ad esempio durante la creazione di un VPC endpoint o di Network Load Balancer, per questo campo il record potrebbe visualizzare unknown per questo campo.

Tipo di dati Parquet: STRING

2

interface-id

L'ID dell'interfaccia di rete per la quale il traffico viene registrato.

Tipo di dati sul parquet: STRING

2

srcaddr

L'indirizzo di origine per il traffico in entrata oppure l'IPv6indirizzo IPv4 o dell'interfaccia rete per il traffico in uscita sull'interfaccia di rete. L'IPv4indirizzo dell'interfaccia di rete è sempre il suo IPv4 indirizzo privato. Consulta anche pkt-srcaddr.

Tipo di dati Parquet: STRING

2

dstaddr

L'indirizzo di destinazione per il traffico in uscita oppure l'IPv6indirizzo IPv4 o dell'interfaccia rete per il traffico in entrata sull'interfaccia di rete. L'IPv4indirizzo dell'interfaccia di rete è sempre il suo IPv4 indirizzo privato. Consulta anche pkt-dstaddr.

Tipo di dati Parquet: STRING

2

srcport

La porta di origine del traffico.

Tipo di dati del parquet: INT _32

2

dstport

La porta di destinazione del traffico.

Tipo di dati del parquet: _32 INT

2

protocol

Il numero di IANA protocollo del traffico. Per ulteriori informazioni, consulta la sezione relativa ai numeri di protocollo Internet assegnati.

Tipo di dati Parquet: INT _32

2

packets

Il numero di pacchetti trasferiti durante il flusso.

Tipo di dati del parquet: _64 INT

2

bytes

Il numero di byte trasferiti durante il flusso.

Tipo di dati del parquet: _64 INT

2

start

L'ora, in secondi Unix, di ricezione del primo pacchetto del flusso all'interno dell'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete.

Tipo di dati del parquet: _64 INT

2

end

L'ora, in secondi Unix, in cui l'ultimo pacchetto del flusso è stato ricevuto entro l'intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull'interfaccia di rete.

Tipo di dati del parquet: _64 INT

2

action

L'operazione associata al traffico:

  • ACCEPT - Il traffico è stato accettato.

  • REJECT - Il traffico è stato respinto. Ad esempio, il traffico non era consentito dai gruppi di sicurezza o dalla rete oppure ACLs i pacchetti sono arrivati dopo la chiusura della connessione.

Tipo di dati Parquet: STRING

2

log-status

Lo stato di registrazione del log di flusso:

  • OK : i dati vengono registrati normalmente nelle destinazioni scelte.

  • NODATA : non vi è alcun traffico di rete da o per l'interfaccia di rete durante l'intervallo di aggregazione.

  • SKIPDATA : alcuni record del log di flusso sono stati ignorati durante l'intervallo di aggregazione. Ciò può essere causato da un vincolo di capacità interna o da un errore interno.

    Alcuni record del log di flusso possono essere ignorati durante l'intervallo di aggregazione (vedi log-status in). Campi disponibili Ciò può essere causato da un vincolo di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di VPC flusso e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon. VPC

Tipo di dati Parquet: STRING

2

vpc-id

L'ID del VPC che contiene l'interfaccia di rete per la quale il traffico viene registrato.

Tipo di dati Parquet: STRING

3

subnet-id

L'ID della subnet che contiene l'interfaccia di rete per cui viene registrato il traffico.

Tipo di dati sul parquet: STRING

3

instance-id

L'ID dell'istanza associata all'interfaccia di rete per cui viene registrato il traffico, se l'istanza appartiene a te. Restituisce un simbolo '-' per un'interfaccia di rete gestita dal richiedente, ad esempio l'interfaccia di rete per un NAT gateway.

Tipo di dati Parquet: STRING

3

tcp-flags

Il valore bitmask per i seguenti TCP flag:

  • FIN— 1

  • SYN— 2

  • RST— 4

  • SYN- ACK — 18

Se non viene registrato alcun flag supportato, il valore del TCP flag è 0. Ad esempio, siccome tcp-flags non supporta log ACK o flag, i record per il traffico con questi PSH flag non supportati restituiranno un valore tcp-flags 0. Tuttavia, se un flag non supportato è accompagnato da un flag supportato, riporteremo il valore del flag supportato. Ad esempio, se fa parte di -, riporta 18. ACK SYN ACK Inoltre, se esiste un record come SYN +ECE, siccome SYN è un flag supportato e non lo ECE è, il valore del TCP flag è 2. Se per un motivo qualunque la combinazione di flag non è valida e il valore non può essere calcolato, il valore è '-'. Se non viene inviato alcun flag, il valore del TCP flag è 0.

TCPi flag possono essere introdotti da un operatore OR durante l'intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN - ACK e FIN 3 per SYN andFIN. Per vedere un esempio, consulta TCPsequenza di flag.

Per informazioni generali sui TCP flag (come il significato di flag comeFIN, eACK)SYN, consulta Struttura del TCP segmento su Wikipedia.

Tipo di dati Parquet: _32 INT

3

type

Il tipo di traffico. I valori possibili sono: IPv4 | IPv6 | EFA. Per ulteriori informazioni, consulta Elastic Fabric Adapter (EFA).

Tipo di dati del parquet: STRING

3

pkt-srcaddr

L'indirizzo IP di origine a livello di pacchetto (originale) del traffico. Utilizzare questo campo con il campo srcaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di origine originale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un NAT gateway o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di unVPC).

Tipo di dati Parquet: STRING

3

pkt-dstaddr

L'indirizzo IP di destinazione a livello di pacchetto (originale) per il traffico. Utilizzare questo campo con il campo dstaddr per distinguere l'indirizzo IP di un livello intermedio su cui fluisce il traffico e l'indirizzo IP di destinazione finale del traffico. Ad esempio, quando il traffico passa attraverso un'interfaccia di rete per un NAT gateway o quando l'indirizzo IP di un pod in Amazon EKS è diverso dall'indirizzo IP dell'interfaccia di rete del nodo dell'istanza in cui il pod è in esecuzione (per la comunicazione all'interno di unVPC).

Tipo di dati Parquet: STRING

3

region

Regione che contiene l'interfaccia di rete per la quale viene registrato il traffico.

Tipo di dati sul parquet: STRING

4

az-id

ID della zona di disponibilità che contiene l'interfaccia di rete per la quale viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati sul parquet: STRING

4

sublocation-type

Il tipo di posizione secondaria restituito nel campo sublocation-id . I valori possibili sono: wavelength | outpost | localzone. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati sul parquet: STRING

4

sublocation-id

L'ID della sottorete che contiene l'interfaccia di rete per cui viene registrato il traffico. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo '-' per questo campo.

Tipo di dati sul parquet: STRING

4

pkt-src-aws-service

Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-srcaddr se l'indirizzo IP di origine è per un AWS servizio. Se pkt-srcaddr appartiene a un intervallo sovrapposto, pkt-src-aws-service mostrerà solo uno dei codici di servizio. AWS I valori possibili sono: AMAZON | AMAZON_APPFLOW | AMAZON_CONNECT | API_GATEWAY | CHIME_MEETINGS | CHIME_VOICECONNECTOR | CLOUD9 | CLOUDFRONT | CODEBUILD | DYNAMODB | EBS | EC2 | EC2_INSTANCE_CONNECT | GLOBALACCELERATOR | KINESIS_VIDEO_STREAMS | ROUTE53 | ROUTE53_HEALTHCHECKS | ROUTE53_HEALTHCHECKS_PUBLISHING | ROUTE53_RESOLVER | S3 | WORKSPACES_GATEWAYS.

Tipo di dati Parquet: STRING

5

pkt-dst-aws-service

Il nome del sottoinsieme di intervalli di indirizzi IP per il campo pkt-dstaddr se l'indirizzo IP di destinazione è per un AWS servizio. Per un elenco di possibili valori, consulta il campo pkt-src-aws-service .

Tipo di dati Parquet: STRING

5

flow-direction

La direzione del flusso rispetto all'interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress | egress.

Tipo di dati sul parquet: STRING

5

traffic-path

Il percorso che porta il traffico in uscita verso la destinazione. Per determinare se il traffico è in uscita, controlla il campo flow-direction . I valori possibili sono quelli riportati di seguito. Se nessuno dei valori viene applicato, il campo è impostato su -.

  • 1 - Tramite un'altra risorsa nella stessaVPC, comprese le risorse che creano un'interfaccia di rete nel VPC

  • 2 — Tramite un gateway Internet o un VPC endpoint gateway

  • 3 - Tramite un gateway privato virtuale

  • 4 - Tramite una connessione di peering all'interno della regione VPC

  • 5 - Tramite una connessione di peering tra regioni VPC

  • 6 - Tramite un gateway locale

  • 7 — Tramite un VPC endpoint del gateway (solo istanze basate su Nitro)

  • 8 — Tramite un gateway Internet (solo istanze basate su Nitro)

Tipo di dati Parquet: _32 INT

5

ecs-cluster-arn

AWS Nome della risorsa (ARN) del ECS cluster se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters.

Tipo di dati Parquet: STRING

7

ecs-cluster-name

Nome del ECS cluster se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters.

Tipo di dati Parquet: STRING

7

ecs-container-instance-arn

ARNdell'istanza del ECS contenitore se il traffico proviene da un'ECSattività in esecuzione su un'EC2istanza. Se il fornitore di capacità è AWS Fargate, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListContainerInstances

Tipo di dati Parquet: STRING

7

ecs-container-instance-id

ID dell'istanza del ECS contenitore se il traffico proviene da un'ECSattività in esecuzione su un'EC2istanza. Se il fornitore di capacità è AWS Fargate, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListContainerInstances

Tipo di dati Parquet: STRING

7

ecs-container-id

ID di runtime Docker del contenitore se il traffico proviene da un'ECSattività in esecuzione. Se nell'ECSattività sono presenti uno o più contenitori, questo sarà l'ID di runtime docker del primo contenitore. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters.

Tipo di dati Parquet: STRING

7

ecs-second-container-id

ID di runtime Docker del contenitore se il traffico proviene da un'ECSattività in esecuzione. Se nell'ECSattività sono presenti più contenitori, questo sarà l'ID di runtime Docker del secondo contenitore. Per includere questo campo nel tuo abbonamento, è necessaria l'autorizzazione per chiamare ecs:ListClusters.

Tipo di dati Parquet: STRING

7

ecs-service-name

Nome del ECS servizio se il traffico proviene da un'ECSattività in esecuzione e l'ECSattività viene avviata da un ECS servizio. Se l'ECSattività non viene avviata da un ECS servizio, questo campo sarà '-'. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListServices

Tipo di dati Parquet: STRING

7

ecs-task-definition-arn

ARNdella definizione dell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs: ListTaskDefinitions

Tipo di dati Parquet: STRING

7

ecs-task-arn

ARNdell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListTasks

Tipo di dati Parquet: STRING

7

ecs-task-id

ID dell'ECSattività se il traffico proviene da un'ECSattività in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListTasks

Tipo di dati Parquet: STRING

7

Motivo del rifiuto

Motivo per cui il traffico è stato respinto. Valori possibiliBPA. Restituisce un '-' per qualsiasi altro motivo di rifiuto. Per ulteriori informazioni su VPC Block Public Access (BPA), vedereBlocco dell'accesso pubblico a sottoreti VPCs e sottoreti.

Tipo di dati Parquet: STRING

8

PrivacyCondizioni del sitoPreferenze cookie
© 2024, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.