流量日誌限制 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

流量日誌限制

若要使用流量日誌,您必須注意下列限制:

  • 建立流程日誌之後,在您選擇的網路介面、子網路或 VPC 有作用中流量之前,不會看到流程日誌資料。

  • 除非對等 VPCs 位於您的帳戶中,否則您無法為與 VPC 對等的 VPC 啟用流程日誌。

  • 建立流程日誌之後,您無法變更其組態或流程日誌記錄格式。例如,您無法將不同的 IAM 角色與流程日誌建立關聯,或在流程日誌記錄中新增或移除欄位。但是您可以刪除流量日誌,並使用需要的組態建立新的流量日誌。

  • 如果您的網路介面有多個 IPv4 地址,且流量傳送到次要私有 IPv4 地址,則流量日誌會在 dstaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量傳送到網路介面,且目的地不是網路介面的任何 IP 地址,則流量日誌會在 dstaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量是從網路介面傳送,且來源不是網路介面的任何 IP 地址,則流量日誌會在 srcaddr 欄位中顯示主要私有 IPv4 地址。若要擷取原始來源 IP 地址,請建立具有 pkt-srcaddr 欄位的流量日誌。

  • 如果流量是傳送到網路介面或從網路介面傳送,無論封包來源或目的地為何,流程日誌中的 srcaddrdstaddr 欄位一律會顯示主要私有 IPv4 地址。若要擷取封包來源或目標,請建立具有 pkt-srcaddrpkt-dstaddr 欄位的流量日誌。

  • 當您的網路介面連線至 Nitro 型執行個體時,無論指定的最大彙總時間間隔為何,彙總時間間隔一律為 1 分鐘或更短。

  • 對於 pkt-srcaddrpkt-dstaddr 欄位,如果中繼層已啟用用戶端 IP 地址保留,則此欄位可能會顯示保留的用戶端 IP,而不是中繼層的 IP 地址。

  • 在彙總間隔期間,可能會略過某些流程日誌記錄 (請參閱 中的日誌狀態可用的欄位)。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視 VPC 流量日誌費用,且在流量日誌彙總間隔期間略過某些流量日誌,在 中報告的流量日誌數目 AWS Cost Explorer 將高於 Amazon VPC 發佈的流量日誌數目。

  • 如果您使用的是 VPC Block Public Access (BPA)

    • VPC BPA 的流程日誌不包含略過的記錄

    • bytes 即使您在流程日誌中包含 bytes 欄位,VPC BPA 的流程日誌也不會包含 。

流量日誌不會擷取所有 IP 流量。以下流量類型的日誌不會記錄:

  • 執行個體聯絡 Amazon DNS 伺服器時產生的流量。如果您使用自己的 DNS 伺服器,則會記錄到該 DNS 伺服器的所有流量。

  • 由 Windows 執行個體針對 Amazon Windows 授權啟用所產生的流量。

  • 針對執行個體中繼資料,流入及流出 169.254.169.254 的流量。

  • 針對 Amazon Time Sync Service,流入及流出 169.254.169.123 的流量。

  • DHCP流量。

  • 流量鏡像來源流量。您只會看到流量鏡像的目標流量。

  • 流量至預設 VPC 路由器的預留 IP 地址。

  • 端點網路介面和 Network Load Balancer 網路介面之間的流量。

  • 地址解析通訊協定 (ARP) 流量。

第 7 版中可用的 ECS 欄位特定限制:

  • 若要使用 ECS 欄位建立流程日誌訂閱,您的帳戶必須至少包含一個 ECS 叢集。

  • 如果基礎 ECS 任務不是流程日誌訂閱擁有者所擁有,則不會計算 ECS 欄位。例如,如果您與其他帳戶 (AccountB) 共用子網路 (SubnetA),然後建立 的流程日誌訂閱SubnetA,如果在共用子網路中AccountB啟動 ECS 任務,您的訂閱會從 啟動的 ECS 任務接收流量日誌,AccountB但由於安全問題,這些日誌的 ECS 欄位不會計算。

  • 如果您在 ECS/Subnet 資源層級使用 VPC 欄位建立流程日誌訂閱,則針對非 ECS 網路介面產生的任何流量也會針對您的訂閱傳送。對於非 ECS IP 流量,ECS 欄位的值將為 '-'。例如,您有一個子網路 (subnet-000000),並使用 ECS 欄位 () 為此子網路建立流程日誌訂閱fl-00000000。在 中subnet-000000,您會啟動連線至網際網路並主動產生 IP 流量的 EC2 執行個體 (i-0000000)。您也可以在相同的子網路中啟動執行中的 ECS 任務 (ECS-Task-1)。由於 i-0000000ECS-Task-1 正在產生 IP 流量,您的流量日誌訂閱fl-00000000將為這兩個實體提供流量日誌。不過,只有您包含在 ECS 中的 ECS 欄位ECS-Task-1才有實際的 logFormat 中繼資料。對於i-0000000相關流量,這些欄位的值為 '-'。

  • ecs-container-idecs-second-container-id 會隨著 VPC Flow Logs 服務從 ECS 事件串流接收而排序。不保證它們的順序與您在 ECS 主控台或 DescribeTask API Word呼叫中看到的順序相同。如果容器在任務仍在執行時進入 STOPPED 狀態,它可能會繼續出現在您的日誌中。

  • ECS 中繼資料和 IP 流量日誌來自兩個不同的來源。一旦從上游相依性取得所有必要資訊,我們就會開始計算您的 ECS 流量。開始新的任務後,我們會開始計算您的 ECS 欄位 1) 當我們收到基礎網路介面的 IP 流量時,以及 2) 當我們收到包含 ECS 任務中繼資料的 ECS 事件時,表示任務正在執行中。在您停止任務之後,我們會停止計算您的 ECS 欄位 1) 我們不再接收基礎網路介面的 IP 流量,或我們收到延遲超過一天的 IP 流量,以及 2) 我們收到包含 ECS 任務中繼資料的 ECS 事件,以指出您的任務不再執行。

  • 僅支援以awsvpc網路模式啟動的 ECS 任務。