流量日誌限制 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

流量日誌限制

若要使用流量日誌,您必須注意下列限制:

  • 除非對等伺服器VPC位於您的帳戶中VPCs,VPC否則您無法為與 對等的 啟用流程日誌。

  • 建立流量日誌之後,您即無法變更其組態或流量日誌記錄格式。例如,您無法將不同的IAM角色與流程日誌建立關聯,或在流程日誌記錄中新增或移除欄位。但是您可以刪除流量日誌,並使用需要的組態建立新的流量日誌。

  • 如果您的網路介面有多個IPv4地址,且流量會傳送到次要私有IPv4地址,則流程日誌會在 dstaddr 欄位中顯示主要私有IPv4地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量傳送到網路介面,且目的地不是網路介面的任何 IP 地址,則流程日誌會在 dstaddr 欄位中顯示主要私有IPv4地址。若要擷取原始目標 IP 地址,請建立具有 pkt-dstaddr 欄位的流量日誌。

  • 如果流量是從網路介面傳送,且來源不是網路介面的任何 IP 地址,則流量日誌會在 srcaddr 欄位中顯示主要私有IPv4地址。若要擷取原始來源 IP 地址,請建立具有 pkt-srcaddr 欄位的流量日誌。

  • 如果流量是傳送到網路介面或從網路介面傳送,無論封包來源或目的地為何,流程日誌中的 srcaddrdstaddr 欄位一律會顯示主要私有IPv4地址。若要擷取封包來源或目標,請建立具有 pkt-srcaddrpkt-dstaddr 欄位的流量日誌。

  • 當您的網路介面連線至 Nitro 型執行個體時,無論指定的最大彙總時間間隔為何,彙總時間間隔一律為 1 分鐘或更短。

  • 在彙總間隔期間,可能會略過某些流程日誌記錄 (請參閱 中的日誌狀態可用的欄位)。這可能是由於內部 AWS 容量限制或內部錯誤所造成。如果您使用 AWS Cost Explorer 來檢視VPC流程日誌費用,且在流程日誌彙總間隔期間略過部分流程日誌,在 中報告的流程日誌數目 AWS Cost Explorer 會高於 Amazon 發佈的流程日誌數目VPC。

  • 對於 pkt-srcaddrpkt-dstaddr 欄位,如果中繼層已啟用用戶端 IP 地址保留,則此欄位可能會顯示保留的用戶端 IP,而不是中繼層的 IP 地址。

流量日誌不會擷取所有 IP 流量。以下流量類型的日誌不會記錄:

  • 執行個體聯絡 Amazon DNS 伺服器時產生的流量。如果您使用自己的DNS伺服器,則會記錄到該DNS伺服器的所有流量。

  • 由 Windows 執行個體針對 Amazon Windows 授權啟用所產生的流量。

  • 針對執行個體中繼資料,流入及流出 169.254.169.254 的流量。

  • 針對 Amazon Time Sync Service,流入及流出 169.254.169.123 的流量。

  • DHCP 流量。

  • 流量鏡像來源流量。您只會看到流量鏡像的目標流量。

  • 流量到預設VPC路由器的預留 IP 地址。

  • 端點網路介面和 Network Load Balancer 網路介面之間的流量。

  • 地址解析通訊協定 (ARP) 流量。

第 7 版中可用ECS欄位的特定限制:

  • 若要使用 ECS 欄位建立流程日誌訂閱,您的帳戶必須至少包含一個ECS叢集。

  • ECS 如果基礎ECS任務不是流程日誌訂閱的擁有者所擁有,則不會計算 欄位。例如,如果您與其他帳戶 (AccountB) 共用子網路 (SubnetA),然後建立 的流程日誌訂閱SubnetA,如果在共用子網路中AccountB啟動ECS任務,您的訂閱會從 啟動ECS的任務接收流量日誌,AccountB但由於安全問題,系統不會計算這些日誌ECS的欄位。

  • 如果您使用 VPC/Subnet 資源層級ECS的欄位建立流程日誌訂閱,則針對非ECS網路介面所產生的任何流量也會針對您的訂閱交付。非ECS IP 流量ECS的欄位值將為 '-'。例如,您有一個子網路 (subnet-000000),而且您為此子網路建立具有ECS欄位 () 的流量日誌訂閱fl-00000000。在 中subnet-000000,您會啟動連線至網際網路且正在主動產生 IP 流量的EC2執行個體 (i-0000000)。您也可以在相同的子網路中啟動執行中的ECS任務 (ECS-Task-1)。由於 i-0000000ECS-Task-1 正在產生 IP 流量,您的流量日誌訂閱fl-00000000將為這兩個實體傳送流量日誌。不過,只有您包含在 中的ECS欄位才會ECS-Task-1有實際ECS中繼資料logFormat。對於i-0000000相關流量,這些欄位的值將為 '-'。

  • ecs-container-id 當 VPC Flow Logs 服務從ECS事件串流接收它們時,ecs-second-container-id會排序 和 。不保證它們的順序與您在ECS主控台或 DescribeTask API通話中看到的順序相同。如果容器在任務仍在執行時進入 STOPPED 狀態,它可能會繼續出現在您的日誌中。

  • ECS 中繼資料和 IP 流量日誌來自兩個不同的來源。一旦我們從上游相依性取得所有必要資訊,就會開始計算您的ECS流量。啟動新任務後,我們會開始計算您的ECS欄位 1) 當我們收到基礎網路介面的 IP 流量時,以及 2) 當我們收到包含ECS任務中繼資料ECS的事件時,表示任務目前正在執行中。在您停止任務之後,我們會停止計算您的ECS欄位 1) 我們不再接收基礎網路介面的 IP 流量,或我們收到延遲超過一天的 IP 流量,以及 2) 我們收到包含ECS任務中繼資料ECS的事件,以指出您的任務不再執行。

  • 僅支援在awsvpc網路模式中啟動ECS的任務。