Limitações do log de fluxo
Para usar logs de fluxo, você precisa estar atento às seguintes limitações:
-
Após criar um log de fluxo, você não verá os dados do log de fluxo até que haja tráfego ativo para a interface de rede, sub-rede ou VPC que você selecionou.
-
Você não pode habilitar logs de fluxo para VPCs emparelhadas com a sua VPC, a menos que a VPC emparelhada esteja em sua conta.
-
Após criar um log de fluxo, não é possível alterar sua configuração ou o formato do registro do log de fluxo. Por exemplo, não é possível associar uma função do IAM diferente ao log de fluxo, nem adicionar ou remover campos no registro do log de fluxo. Em vez disso, você pode excluir o log de fluxo e criar um novo com a configuração necessária.
-
Se sua interface de rede tiver vários endereços IPv4 e o tráfego for enviado para um endereço IPv4 privado secundário, o log de fluxo exibirá o endereço IPv4 privado primário no campo
dstaddr
. Para capturar o endereço IP de destino original, crie um log de fluxo com o campopkt-dstaddr
. -
Se o tráfego for enviado para uma interface de rede e o destino não for nenhum dos endereços IP da interface de rede, o log de fluxo exibirá o endereço IPv4 privado principal no campo
dstaddr
. Para capturar o endereço IP de destino original, crie um log de fluxo com o campopkt-dstaddr
. -
Se o tráfego for enviado de uma interface de rede e a origem não for nenhum dos endereços IP da interface de rede, o log de fluxo exibirá o endereço IPv4 privado principal no campo
srcaddr
. Para capturar o endereço IP de origem original, crie um log de fluxo com o campopkt-srcaddr
. -
Se o tráfego for enviado para ou de uma interface de rede, os campos
srcaddr
edstaddr
no log de fluxo sempre exibirão o endereço IPv4 privado primário, independentemente da origem ou destino do pacote. Para capturar a origem ou o destino do pacote, crie um log de fluxo com os campospkt-srcaddr
epkt-dstaddr
. -
Quando uma interface de rede é anexada a uma instância baseada em Nitro, o intervalo de agregação é sempre 1 minuto ou menos, independentemente do intervalo de agregação máximo especificado.
-
Para os campos
pkt-srcaddr
epkt-dstaddr
, se a camada intermediária tiver a Preservação do endereço IP do cliente ativada, esse campo poderá mostrar o IP do cliente preservado, em vez do endereço IP da camada intermediária. Alguns registros de log de fluxo podem ser ignorados durante o intervalo de agregação (consulte log-status em Campos disponíveis). Isso pode ocorrer em virtude de uma restrição de capacidade interna da AWS ou de um erro interno. Se você estiver usando o AWS Cost Explorer para visualizar as cobranças dos logs de fluxo da VPC e alguns logs de fluxo forem ignorados durante o intervalo de agregação de logs de fluxo, o número de logs de fluxo relatados AWS Cost Explorer será maior do que o número de logs de fluxo publicados pela Amazon VPC.
-
Se você estiver usando o atributo Bloquear o Acesso Público (BPA) da VPC:
-
Os logs de fluxo para o BPA da VPC não incluem os registros ignorados.
-
Os logs de fluxo para o BPA da VPC não incluem bytes mesmo que você inclua o campo
bytes
no log de fluxo.
-
Os logs de fluxo não capturam todo o tráfego de IP. Os tipos de tráfego a seguir não são registrados:
-
O tráfego gerado por instâncias quando elas entram em contato com o servidor de DNS da Amazon. Se você usar seu próprio servidor de DNS, todo tráfego para esse servidor de DNS será registrado.
-
O tráfego gerado por uma instância Windows para ativação de licença do Amazon Windows.
-
O tráfego para e proveniente de
169.254.169.254
para metadados de instância. -
O tráfego para e proveniente de
169.254.169.123
para o Amazon Time Sync Service. -
Tráfego DHCP.
-
Tráfego de origem do tráfico espelhado. Você só verá tráfego de destino do tráfego espelhado.
-
Tráfego para o endereço IP reservado para o router padrão da VPC.
-
Trafegue entre uma interface de rede do endpoint e uma interface de rede do Network Load Balancer.
-
Tráfego do Protocolo de Resolução de Endereço (ARP).
Limitações específicas dos campos do ECS disponíveis na versão 7:
Para criar assinaturas de log de fluxo com campos do ECS, sua conta deve conter pelo menos um cluster do ECS.
Os campos do ECS não serão computados se as tarefas subjacentes do ECS não pertencerem ao proprietário da assinatura do log de fluxo. Por exemplo, se você compartilhar uma sub-rede (
SubnetA
) com outra conta (AccountB
) e, em seguida, criar uma assinatura de log de fluxo para aSubnetA
, seAccountB
iniciar tarefas do ECS na sub-rede compartilhada, sua assinatura receberá logs de tráfego das tarefas do ECS iniciadas porAccountB
, mas os campos do ECS desses logs não serão calculados devido a questões de segurança.Se você criar assinaturas de log de fluxo com campos do ECS no nível de recurso de VPC/sub-rede, qualquer tráfego gerado para interfaces de rede não pertencentes ao ECS também será entregue para suas assinaturas. Os valores dos campos do ECS serão “-” para tráfego IP não pertencente ao ECS. Por exemplo, você tem uma sub-rede (
subnet-000000
) e cria uma assinatura de log de fluxo para essa sub-rede com campos do ECS (fl-00000000
). Nasubnet-000000
, você executa uma instância do EC2 (i-0000000
) que está conectada à Internet e está gerando ativamente tráfego IP. Você também inicia uma tarefa do ECS em execução (ECS-Task-1
) na mesma sub-rede. Como ambosi-0000000
eECS-Task-1
estão gerando tráfego IP, sua assinatura de log de fluxofl-00000000
fornecerá logs de tráfego para ambas as entidades. No entanto, sóECS-Task-1
terá metadados efetivos do ECS para os campos do ECS que você incluiu em seu logFormat. Para tráfego relacionado ai-0000000
, esses campos terão um valor de “-”.ecs-container-id
eecs-second-container-id
são ordenados à medida que o serviço VPC Flow Logs recebê-los do fluxo de eventos do ECS. Não há garantias de que eles estarão na mesma ordem em que você os vê no console do ECS ou na chamada de API DescribetAsk. Se um contêiner entrar no status PARADO enquanto a tarefa ainda estiver em execução, ela poderá continuar aparecendo no seu log.Os metadados do ECS e os registros de tráfego IP são provenientes de duas origens diferentes. Começaremos a computar seu tráfego do ECS assim que obtivermos todas as informações necessárias das dependências upstream. Depois que você inicia uma nova tarefa, começaremos a calcular seus campos do ECS 1) quando recebermos tráfego IP para a interface de rede subjacente e 2) quando recebermos o evento do ECS contendo os metadados da sua tarefa do ECS para indicar que a tarefa está em execução. Depois que você interromper uma tarefa, vamos parar de calcular seus campos do ECS 1) quando não recebermos mais tráfego IP para a interface de rede subjacente ou recebermos tráfego IP atrasado por mais de um dia e 2) quando recebermos o evento do ECS contendo os metadados da sua tarefa do ECS para indicar que a tarefa não está mais em execução.
Só há compatibilidade com tarefas do ECS iniciadas no modo de rede
awsvpc
.