Limitazioni del log di flusso - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Limitazioni del log di flusso

Per utilizzare i log di flusso, occorre considerare le seguenti limitazioni:

  • Dopo aver creato un log di flusso, i dati del log di flusso non verranno visualizzati finché non vi sarà traffico attivo per l'interfaccia di rete, la sottorete o VPC quella selezionata.

  • Non è possibile abilitare log di flusso per quelli VPCs che sono collegati in peering al proprio a VPC meno che il peer non VPC si trovi nel proprio account.

  • Dopo avere creato un log di flusso, non è possibile modificarne la configurazione o cambiare il formato del record di log di flusso. Ad esempio, non è possibile associare un IAM ruolo diverso al log di flusso o aggiungere o rimuovere campi nel record del log di flusso. Invece, è possibile eliminare il log di flusso e crearne uno nuovo con la configurazione richiesta.

  • Se l'interfaccia di rete dispone di più IPv4 indirizzi e il traffico viene inviato a un IPv4 indirizzo privato secondario, il log di flusso visualizza l'IPv4indirizzo privato principale nel dstaddr campo. Per acquisire l'indirizzo IP di destinazione originale, crea un log di flusso con il campo pkt-dstaddr.

  • Se il traffico viene inviato a un'interfaccia di rete e la destinazione non è uno degli indirizzi IP dell'interfaccia di rete, il log di flusso visualizza l'IPv4indirizzo privato principale nel dstaddr campo. Per acquisire l'indirizzo IP di destinazione originale, crea un log di flusso con il campo pkt-dstaddr.

  • Se il traffico proviene da un'interfaccia di rete e l'origine non è uno degli indirizzi IP dell'interfaccia di rete, il log di flusso visualizza l'IPv4indirizzo privato principale nel srcaddr campo. Per acquisire l'indirizzo IP di origine originale, crea un log di flusso con il campo pkt-srcaddr.

  • Se il traffico viene inviato a/da un'interfaccia di rete, i dstaddr campi srcaddr e nel log di flusso visualizzano sempre l'IPv4indirizzo privato principale, indipendentemente dall'origine o dalla destinazione del pacchetto. Per acquisire l'origine o la destinazione del pacchetto, crea un log di flusso con i campi pkt-srcaddr e pkt-dstaddr.

  • Quando l'interfaccia di rete viene collegata a un'istanza basata su Nitro, l'intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall'intervallo di aggregazione massimo specificato.

  • Per pkt-dstaddr i campi pkt-srcaddr e, se il livello intermedio ha abilitato la conservazione dell'indirizzo IP del client, questo campo può mostrare l'IP del client preservato anziché l'indirizzo IP del livello intermedio.

  • Alcuni record del log di flusso possono essere ignorati durante l'intervallo di aggregazione (vedi log-status in). Campi disponibili Ciò può essere causato da un vincolo di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di VPC flusso e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon. VPC

  • Se utilizzi VPC Block Public Access (): BPA

    • I log di flusso per VPC BPA non includono i record ignorati.

    • I log di flusso per VPC BPA non sono inclusi bytesanche se si include il bytes campo nel log di flusso.

I log di flusso non acquisiscono tutto il traffico IP. I seguenti tipi di traffico non vengono registrati:

  • Traffico generato da istanze quando contattano il DNS server Amazon. Se si utilizza il proprio DNS server, tutto il traffico al DNS server viene registrato.

  • Traffico generato da un'istanza Windows per attivazione licenza Windows Amazon.

  • Traffico da e per 169.254.169.254 per metadati istanza.

  • Traffico da e per 169.254.169.123 per Amazon Time Sync Service.

  • DHCPtraffico.

  • Il traffico rispecchiava il traffico di origine. Vedrai il traffico rispecchiato solo il traffico target.

  • Traffico all'indirizzo IP riservato per il VPC router predefinito.

  • Traffico tra un'interfaccia di rete endpoint e un'interfaccia di rete Network Load Balancer.

  • Traffico Address Resolution Protocol (ARP).

Limitazioni specifiche ECS dei campi disponibili nella versione 7:

  • Per creare sottoscrizioni ai log di flusso con ECS campi, l'account deve contenere almeno un ECS cluster.

  • ECSi campi non vengono calcolati se le ECS attività sottostanti non sono di proprietà del proprietario dell'abbonamento al log di flusso. Ad esempio, se condividi una subnet (SubnetA) con un altro account (AccountB) e poi crei un abbonamento al log di flusso perSubnetA, se AccountB avvia ECS attività nella sottorete condivisa, l'abbonamento riceverà i registri del traffico dalle ECS attività avviate da, AccountB ma i ECS campi per questi log non verranno calcolati per motivi di sicurezza.

  • Se crei sottoscrizioni ai log di flusso con ECS campi a livello di risorsa VPC /Subnet, tutto il traffico generato per le interfacce non di ECS rete verrà distribuito anche per le tue sottoscrizioni. I valori per i ECS campi saranno '-' per il traffico non IP. ECS Ad esempio, hai una subnet (subnet-000000) e crei un abbonamento al log di flusso per questa sottorete con ECS fields ()fl-00000000. Insubnet-000000, si avvia un'EC2istanza (i-0000000) connessa a Internet e che genera attivamente traffico IP. È inoltre possibile avviare un'ECSattività in esecuzione (ECS-Task-1) nella stessa sottorete. Poiché entrambi i-0000000 ECS-Task-1 generano traffico IP, l'abbonamento al log di flusso fl-00000000 fornirà i registri del traffico per entrambe le entità. Tuttavia, ECS-Task-1 disporrà solo ECS dei metadati effettivi per i ECS campi che hai incluso nel tuo. logFormat Per il traffico i-0000000 correlato, questi campi avranno il valore '-'.

  • ecs-container-ide ecs-second-container-id vengono ordinati man mano che il servizio VPC Flow Logs li riceve dal flusso di eventi. ECS Non è garantito che siano nello stesso ordine in cui vengono visualizzati sulla ECS console o durante la DescribeTask API chiamata. Se un contenitore entra in uno STOPPED stato mentre l'attività è ancora in esecuzione, è possibile che continui a comparire nel registro.

  • I ECS metadati e i registri del traffico IP provengono da due fonti diverse. Iniziamo a calcolare il tuo ECS traffico non appena otteniamo tutte le informazioni necessarie dalle dipendenze upstream. Dopo aver iniziato una nuova attività, iniziamo a calcolare i ECS campi 1) quando riceviamo il traffico IP per l'interfaccia di rete sottostante e 2) quando riceviamo l'ECSevento che contiene i metadati dell'ECSattività per indicare che l'attività è ora in esecuzione. Dopo aver interrotto un'attività, interrompiamo l'elaborazione dei tuoi ECS campi 1) quando non riceviamo più traffico IP per l'interfaccia di rete sottostante o riceviamo traffico IP che viene ritardato per più di un giorno e 2) quando riceviamo l'ECSevento che contiene i metadati dell'ECSattività per indicare che l'attività non è più in esecuzione.

  • Sono ECS supportate solo le attività avviate in modalità di awsvpc rete.